понедельник, 31 октября 2016 г.

RotorCrypt

RotorCrypt (RotoCrypt, Tar) Ransomware

(шифровальщик-вымогатель) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей и серверов организаций с помощью RSA, а затем требует связаться с вымоагтелями по email, чтобы вернуть файлы. За возвращение файлов в нормальное состояние вымогатели требуют выкуп в 7 биткоинов, 2000-5000 долларов или евро. Аппетит обнаглевших от безнаказанности вымогателей растёт не по дням, а по часам. 

© Генеалогия: Gomasom > RotorCrypt


RotorCrypt Ransomware
Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляются составные расширения по шаблону:

<file_name>.<file_extension><ransom_extension>

На данный момент это расширения .c400, .c300 на конце файла и email вымогателей перед ними
!___ELIZABETH7@PROTONMAIL.COM____.c400
!_____LIKBEZ77777@GMAIL.COM____.c400
!_____GEKSOGEN911@GMAIL.COM____.c300

Таким образом файл Document.doc после шифрования станет:

Document.doc!____ELIZABETH7@PROTONMAIL.COM____.c400  
Document.doc!_____LIKBEZ77777@GMAIL.COM____.c400
Document.doc!_____GEKSOGEN911@GMAIL.COM____.c300

Активность этого крипто-вымогателя пришлась на конец октября - ноябрь 2016 г., но продолжилась и в 2017 году с другими расширениями (см. внизу "Блок обновлений"). 

Записки с требованием выкупа называются: 
readme.txt или ***readme.txt

Содержание записки о выкупе (из версия Tar):
Good day
Your files were encrypted/locked
As evidence can decrypt file 1 to 3 1-30MB
The price of the transcripts of all the files on the server: 7 Bitcoin
Recommend to solve the problem quickly and not to delay
Also give advice on how to protect Your server against threats from the network
(Files sql mdf backup decryption strictly after payment)!

Перевод записки на русский язык:
Добрый день
Ваши файлы зашифрованы / заблокированы
Как доказательство можем расшифровать файл 1 до 3 1-30MB
Стоимость расшифровки всех файлов на сервере: 7 Bitcoin
Рекомендуем решить эту проблему быстро и без задержки
Кроме того, дадим советы о том, как защитить свой сервер от угроз из сети
(Файлы sql mdf backup дешифруем только после оплаты)!

Email вымогателей: 
ELIZABETH7@PROTONMAIL.COM
LIKBEZ77777@GMAIL.COM
GEKSOGEN911@GMAIL.COM
и другие (см. внизу в обновлениях)


Технические детали 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /Quiet
bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {current} recoveryenabled no


Список файловых расширений, подвергающихся шифрованию:

.1cd, .avi, .bak, .bmp, .cf, .cfu, .csv, .db, .dbf, .djvu, .doc, .docx, .dt, .elf, .epf, .erf, .exe, .flv, .geo, .gif, .grs, .jpeg, .jpg, .lgf, .lgp, .log, .mb, .mdb, .mdf, .mxl, .net, .odt, .pdf, .png, .pps, .ppt, .pptm, .pptx, .psd, .px, .rar, .raw, .st, .sql, .tif, .txt, .vob, .vrp, .xls, .xlsb, .xlsx, .xml, .zip (53 расширения). 

Расширений может быть больше, в основном это файлы документов MS Office, изображения, архивы, базы данных, в том числе российского ПО 1C-Бухгалтерия, а также R-Keeper, Sbis и пр. Шифрованию подвержены общие сетевые ресурсы (диски, папки). 

Файлы, связанные с RotorCrypt Ransomware:
iuy.exe
<random_name_8_chars>.exe
<random_name_8_chars>___.exe
DNALWmjW.exe и другие
GWWABPFL_Unpack.EXE
<random_name_8_chars>.lnk
jHlxJqfV.lnk и другие

Расположения: 
%TEMP%\<random_name_8_chars>.exe
C:\Users\User_name\AppData\local\<random_name_8_chars>.exe
C:\Users\User_name\Desktop\<random_name_8_chars>.exe
C:\GWWABPFL_Unpack.EXE
%LOCALAPPDATA%\Microsoft Help\DNALWmjW.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\jHlxJqfV.lnk

Записи реестра, связанные с RotorCrypt Ransomware:
См. ниже гибридные анализы. 

Результаты анализов по версиям:

Гибридный анализ на Tar >>
Гибридный анализ для ELIZABETH >> 
Гибридный анализ для LIKBEZ >>
Гибридный анализ на GEKSOGEN >>
VirusTotal анализ на Tar >>
VirusTotal анализ для ELIZABETH >>
VirusTotal анализ для LIKBEZ >>
VirusTotal анализ на GEKSOGEN >>


Степень распространённости: средняя.
Подробные сведения собираются.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предыстория 1:
На переходном периоде от Gomasom до Tar и RotorCrypt, и параллельно с их ранними версиями, использовались другие составные расширения "roto" и "crypt", от которых, собственно, и произошло название шифровальщика RotorCrypt, через обнаружение Trojan-Ransom.Win32.Rotor, используемое в продуктах ЛК. 
Время распространения: от июня 2015 до января 2016, с продолжением до октября 2016. 

Шаблон расширений: 
<file_name>.<file_extension><ransom_extension>

Список расширений (List of extensions): 
.-.DIRECTORAT1C8@GMAIL.COM.roto
.-.DIRECTORAT1C@GMAIL.COM.roto
.-.directorat1c@gmail.com.roto
.-.CRYPTSb@GMAIL.COM.roto
!-==kronstar21@gmail.com=--.crypt
!==helpsend369@gmail.com==.crypt
!__crypthelp12@gmail.com_.crypt
!___prosschiff@gmail.com_.crypt
!____moskali1993@mail.ru___.crypt
!______sufnex331@gmail.com______.crypt
!______bigromintol971@gmail.com______.crypt
!_______GASWAGEN123@GMAIL.COM____.crypt
!_________pkigxdaq@bk.ru_______.crypt
!______________DESKRYPTEDN81@GMAIL.COM.crypt

Для некоторых из них, возможно и для всех, была выпущена утилита дешифровки RakhniDecryptor. 
Официальная ссылка >>

Предыстория 2: Tar Ransomware
Ранняя версия Tar добавляла к зашифрованным файлам расширение .tar или ___tar
Распространение Tar пришлось на вторую половину сентября - октябрь-ноябрь 2016. 
Сообщения на форуме BC

Расширения того времени:
!____GLOK9200@GMAIL.COM____.tar
!____cocoslim98@gmail.com____.tar
Результаты анализов: HA+VT

Обновление от 10 ноября 2016:
Email: GEKSOGEN911@GMAIL.COM
Расширение по шаблону: 
!_____GEKSOGEN911@GMAIL.COM____.c300

Обновление от 2 декабря 2016:

Email: DILINGER7900@GMAIL.COM
Расширение по шаблону: 
!_____DILINGER7900@GMAIL.COM_____.GRANIT

Обновление от 16 декабря 2016:
Расширение !__recoverynow@india.com__.v8
См. статью V8Locker Ransomware 

Обновление от 26 декабря 2017:

Email: hamil8642@gmail.com
Расширение по шаблону: 
!____hamil8642@gmail.com___.GRANIT

Обновление от 24 марта 2017:

Email: tokico767@gmail.com.adamant
Пример темы >>
Результаты анализов: HA+VT

Обновление: апрель 2017:

Email: edgar4000@protonmail.com
Пример темы >>
Расширение по шаблону: 
edgar4000@protonmail.com____.granit
Email: edgar4000@protonmail.com

Обновление от 5 июня 2017:

Расширение: ________DILIGATMAIL@tutanota.com________.pgp
Ссылка на топик >>

Обновление от 18 июня - 15 августа 2017:

Пост в Твиттере >>
Расширение по шаблону: 
!______DILIGATMAIL7@tutanota.com______.OTR
Email: diligatmail7@tutanota.com
Результаты анализов: HA+VT

Обновление от 23 августа 2017:
Расширение по шаблону:  
!______PIFAGORMAIL@tutanota.com______.SPG
Email: PIFAGORMAIL@tutanota.com
Примеры зашифрованных файлов: 
Анкета.docx!______PIFAGORMAIL@tutanota.com______.SPG
Resume.docx!______PIFAGORMAIL@tutanota.com______.SPG

Обновление от 12 сентября 2017:

Расширение по шаблону: _______PIFAGORMAIL@tutanota.com_____.rar
Email: PIFAGORMAIL@tutanota.com

Обновление от 20 сентября 2017:

Пост в Твиттере >>
Расширение по шаблону: !_____INKASATOR@TUTAMAIL.COM____.ANTIDOT
Email: INKASATOR@TUTAMAIL.COM
Результаты анализов: VT

Обновление от 13-20 сентября 2017:

Пост в Твиттере >> + Пост в Твиттере >> 
Расширение по шаблону: !-=solve a problem=-=grandums@gmail.com=-.PRIVAT66
Email: grandums@gmail.com
Результаты анализов: VT

Обновление от 20 сентября 2017:
Пост в Твиттере >>
Расширение по шаблону: !==solve a problem==stritinge@gmail.com===.SENRUS17
Email: stritinge@gmail.com
Сумма выкупа: 1 BTC
Результаты анализов: VT

Обновление от 10 октября 2017:

Пост в Твиттере >>
Расширение по шаблону: !_____FIDEL4000@TUTAMAIL.COM______.biz
Email: FIDEL4000@TUTAMAIL.COM
Результаты анализов: VT

Обновление от 17 октября 2017:
Пост в Твиттере >>
Файлы: dead rdp.exe, RarYBiHI.exe
Расширение: !____________DESKRYPT@TUTAMAIL.COM________.rar
Email: DESKRYPT@TUTAMAIL.COM
Результаты анализов: VT

Обновление от 27 ноября 2017:
🎥 Video review
Пост в Твиттере  + Tweet >>
Расширение: !____________ENIGMAPRO@TUTAMAIL.COM_______.PGP
Email: ENIGMAPRO@TUTAMAIL.COM 
Записка: info.txt
Файлы: <random8>.exe
Результаты анализов: VT + HA
 Скриншоты записки и файлов >>


Обновление от 25 декабря 2017: 
Расширение: !___________ANCABLCITADEL@TUTAMAIL.COM__________.PGP
Email: ANCABLCITADEL@TUTAMAIL.COM
Файл: <random>.exe
Результаты анализов: VT

Обновление от 25 января 2018:
Пост в Твиттере >>
Расширение: !==SOLUTION OF THE PROBLEM==blacknord@tutanota.com==.Black_OFFserve!
Email: blacknord@tutanota.com
Результаты анализов: VT + VT

Обновление от 9 февраля 2018:
Пост в Твиттере >>
Расширение: !decrfile@tutanota.com.crypo
Email: decrfile@tutanota.com
Результаты анализов: VT


Обновление от 5 марта 2018:
Пост в Твиттере >>
Расширение с пробелами: ! ,--, Revert Access ,--,  starbax@tutanota.com  ,--,.BlockBax_v3.2
Email: starbax@tutanota.com
Результаты анализов: VT

Обновление от 21 мая 2018:
Пост в Твиттере  >>
Расширение: !________INKOGNITO8000@TUTAMAIL.COM_________.SPG
Email: INKOGNITO8000@TUTAMAIL.COM
Результаты анализов: VT


Обновление от 03 июня 2018:
Пост на форуме >>
Расширение: !_______INKOGNITO7000@TUTAMAIL.COM_______.SPG
Email: INKOGNITO7000@TUTAMAIL.COM

Обновление от 11 июня 2018:
Пост в Твиттере >>
Расширение: !@#$%______PANAMA1@TUTAMAIL.com_____%$#@.mail
Email: PANAMA1@TUTAMAIL.com
Результаты анализов: VT


Обновление от 14 июня 2018:
Пост в Твиттере >>
Расширение: !@!@!@_contact mail___boroznsalyuda@gmail.com___!@!@.psd
Email: boroznsalyuda@gmail.com
Файл: WbshKnkR.exe
Результаты анализов: VT
RotorCrypt Ransomware
Так выглядят зашифрованные файлы

Обновление от 14 июня 2018:
Пост в Твиттере >>
Пост в Твиттере >>
Видеообзор от CyberSecurity GrujaRS >>
Расширение: !@#$_____ISKANDER@TUTAMAIL.COM_____$#@!.RAR
Скриншот с зашифрованными файлами
Email: ISKANDER@TUTAMAIL.COM
Записка: INFO.txt
Содержание записки: 
Для связи с нами используйте почту
ISKANDER@TUTAMAIL.COM
Результаты анализов: VT
RotorCrypt Ransomware
Так выглядят зашифрованные файлы

Обновление от 24 июня 2018:
Расширение: !@#$_____INKASATOR1@TUTAMAIL.COM_____$#@!.RAR
Email: INKASATOR1@TUTAMAIL.COM
Топик на форуме >>


Обновление от 25 июня 2018:
Пост в Твиттере >>
Зашифрованные файлы без расширения.
Email: patagonoa92@tutanota.com
Записка: Help.txt
➤ Содержание записки:
help mail
PATAGONIA92@TUTANOTA.COM
Результаты анализов: VT


Обновление от 9 июля 2018:
Пост в Твиттере >>
Расширение: !@$#-unlock-email______zepro190@gmail.com______#$!...ES_HELPs
Email: zepro190@gmail.com
Результаты анализов: VT
Так выглядят зашифрованные файлы


Обновление от 19 июля 2018:
Расширение: !@#$%______PANAMA1@TUTAMAIL.com_____%$#@.mail
Email: PANAMA1@TUTAMAIL.com
Топик на форуме >>


Обновление от 21 августа 2018:
Пост в Твиттере >>
Расширение: 
!@#$_(decryp in the EMail)____nautilus369alarm@gmail.com____$#@..AlfaBlock
Email: nautilus369alarm@gmail.com
Результаты анализов: VT





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 ID Ransomware
 Topic on BC
 Topic on KC 

  Thanks: 
  Michael Gillespie
  mike 1, thyrex
  and victims in the topics of support
  GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

17 комментариев:

  1. Пострадал от этого шифровальщика. Вымогатели общаются, но требуют заоблачные деньги.

    ОтветитьУдалить
    Ответы
    1. На рабочем столе у вас было много информации? Ярлыков, файлов?
      Если да, а данный шифровальщик снимает и отправляет вымогателям скриншот рабочего стола, то можно чем-то пожертвовать и сказать вымогателям, что мне нужна только такая-то папка, да и то не все файлы, так они могут снизить цену. Дешифровщика пока нет, т.к. исследователям нужен образец вредоеноса и файлы для изучения.
      Рекомендую создать тему здесь
      http://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/ .
      Можете сослаться на меня Amigo-A. Вам скажут куда загрузить файлы для исследования. Ничего сами не удаляйте.

      Удалить
  2. У нас он зашёл в апреле 2017, почта edgar4000@protonmail.com____.granit. Если интересно могу сбросить

    ОтветитьУдалить
    Ответы
    1. Выложите файл записки о выкупе на www.dropmefiles.com и дайте ссылку на скачивание, если он отличается от прежнего. Можно и сюда весь текст вставить. Exe-файл лучше отправить на https://www.hybrid-analysis.com - ссылку на результат скопировать сюда.

      Удалить
    2. записки о выкупе не было. Но к каждому файлу было добавлено поле с этим мэйлом. Написали им на эту почту - они ответили. Ребята начали с 7 биткоинтов с другим человеком, со мной с 2 биткоинтов. Мы доторговались до 1300 долларов - но ребята слились, правда периодически пописывают мне. Вообщем несерьезные они какие то

      Удалить

  3. От: "EDGAR4000"
    Тема: .Granit
    Копия:


    Добрый день, мы обеспечили безопасность ваших файлов.
    Щас идет массовая экспансия фирм\компаний\предприятий\организаций

    воры подменивают банковские реквизиты, крадут информацию о онлайн банкинге, воруют деньги, продают файлы конкурентам и на биржах информации и еще очень много гадостей которые они делают,
    все зависит от тематики вашего бизнеса и нахождения файлов на вашем сервере

    Мы ваши файлы в своих корысных целях не используем. Наш поинт доносить до компаний всю серьезность сложившейся пагубной обстановки.


    Хакеры добро или зло? ядерное оружие добро или зло?
    если оно служит для обеспечения безопасности государства а не для запугивания то это не зло.
    а хакеры которые делают беззаконие и ищут лишь своей корысти тем самым банкротят бизнес мы - порицаем.
    так что все в нашем мире сугубо относительно. мы спасам бизнес людей

    Поручите вашему новому системному администратору

    Сменить все пароли, ставить сложные пароли
    Сменить порт сервера на более сложный
    Настроить подключение к серверу лишь через VPN т.е через 1 IP

    относитесь к безопасности серьезно, и не принебрегайте ею

    естественно мы берем небольшие деньги но эти деньги не могут сравниться с тем сколько бы у вас могли украсть воры, мы просим сущие копейки за вразумление, не более)
    Цены за востановление варьируются от 2300 евро. более точно сможем съориентировать после того как пришлете маску ип либо полностью IP сервера.
    Доложите информацию руководству для принятия решения.
    по вопросам безопасности консультируем бесплатно!


    От себя гарантируем добросоестность, прозрачность сделки и выполнение всех своих обязательств в полной мере.

    Sent with ProtonMail Secure Email.

    ОтветитьУдалить
  4. EDGAR4000
    1350 край
    Sent with ProtonMail Secure Email.

    ОтветитьУдалить
  5. Словили этот вид:

    Расширение: !@#$_____INKASATOR1@TUTAMAIL.COM_____$#@!.RAR
    Email: INKASATOR1@TUTAMAIL.COM

    Есть решение? Готовы заплатить за декодер! Срочно!

    ОтветитьУдалить
    Ответы
    1. Ответили вам на email.

      Удалить
    2. Добрый день! Тот же вид !@#$_____INKASATOR1@TUTAMAIL.COM_____$#@!.RAR, есть сам вирус, образа диска, зашифрованные файлы и их нешифрованные копии. Можете помочь дополнительной инфой?

      Удалить
    3. Вам лучше обратиться на форумы поддержки Dr.Web, Kaspersky, ESET.
      Они регулярно выпускают дешифраторы или дешифруют файлы в частном (платном) порядке.
      Скажете, что у вас есть всё, что надо.

      Удалить
  6. Тоже зашифровали все базы бухгалтерии, пока не писал имя файла выглядит так:
    Base8Work.rar!@#$_(decryp in the EMail)____nautilus369alarm@gmail.com____$#@.

    ОтветитьУдалить
    Ответы
    1. Спасибо за информацию. Добавил в обновления.

      Удалить
  7. есть хоть какая то возможность расшифровать? nautilus369alarm@gmail.com - также ету гадость бухгалтер споймал

    ОтветитьУдалить
    Ответы
    1. Да, в Dr.Web могут попытаться дешифровать в частном порядке.
      Ссылка: https://legal.drweb.ru/encoder/

      Удалить
    2. Мы так и не нашли решение, хорошо что бы бекап хоть и двух месячной давности.
      Что касается антивирусных компаний. Мы связывались и с касперским и с доктором вебом. Везде получили ответ, что стойкий алгоритм и ключ у злоумышленников. Обе компании предложили писать им примерно раз в один - два месяца. Возможно появится способ расшифровки.

      Так же писали злоумышленникам на почту. Запросили 3000 евро. Начали играть с ними, мол нет таких денег и т.д. Ответили "предлагайте свою цену. мы готовы идти на уступки". В итоге посмеялись и забили.

      Шифровку они объясняют тем, что они помогают выявить уязвимости в безопасности и хотят за это вознаграждение.

      Ну как-то так.

      Удалить
    3. Предложение своей цены - это хороший шанс для кого-то. Например, убрать 1 ноль или снизить до 100 евро, это лучше, чем ничего. Но главная проблема в безопасности - это сама Windows любой версии, да и другие не лучше.

      Удалить

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton