Если вы не видите здесь изображений, то используйте VPN.

пятница, 31 марта 2017 г.

Sanctions 2017

Sanctions 2017 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES / RSA, а затем требует выкуп в 6 биткоинов, чтобы вернуть файлы. Оригинальное название: Sanctions.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.
Sanctions 2017

К зашифрованным файлам добавляется расширение .wallet

Расширение .wallet ранее использовалось в вымогателе Dharma, но файлы, зашифрованные с Sanctions 2017 не содержат WORM06, т.е. маркер файлов Dharma. 

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: RESTORE_ALL_DATA.html 
Sanctions 2017 Ransomware

Содержание записки о выкупе:
YOUR UNIQ IDENTIFICATOR:
550*********************
What happend with my files?
All your files has been locked (encrypted) with Ransomware
For encrypting we using strong cryptographic algorithm AES256+RSA-2048. Do not attempt to recover the files yourself.
You might corrupt your files. We also rewrite all old blocks on HDD and you don't recover your files with Recuva and other...
YOU HAVE ONLY 5 DAYS FOR BUY YOUR DECRYPTION TOOL
It is not advised to use third party tools to decrypt, if we find them you, you will forever lose your files.
How i can restore my files?
1) Go to link: BUY DECRYPTION INFO and look your price for decryption 
2) Go to BTC exchange services and buy Bitcoin 
3) Buy your decryption info
BTC Guide:
Top BTC exchange sites: LocalBitcoins (We recomend), Coinbase, BTC-E,
Online wallets: Blockchainlnfo, Block.io

Перевод записки на русский язык:
ВАШ УНИК ИДЕНТИФИКАТОР:
550 *********************
Что случилось с моими файлами?
Все ваши файлы блокированы (зашифрованы) Ransomware
Для шифрования мы используем надежный криптографический алгоритм AES256 + RSA-2048. Не пытайтесь восстановить файлы самостоятельно.
Вы можете испортить свои файлы. Мы также переписываем все старые блоки на HDD, и вы не восстановите свои файлы с помощью Recuva и других...
У ВАС ЕСТЬ ЛИШЬ 5 ДНЕЙ ДЛЯ ПОКУПКИ ДЕКРИПТЕРА
Не рекомендуется использовать сторонние инструменты для расшифровки, если мы их найдем, вы навсегда потеряете свои файлы.
Как я могу восстановить мои файлы?
1) Иди по ссылке: BUY DECRYPTION INFO и смотри свою цену за расшифровку
2) Иди в сервисы обмена BTC и купи биткойны
3) Купи свою инфу по расшифровке
Руководство BTC:
Лучшие сайты обмена BTC: LocalBitcoins (мы рекомендуем), Coinbase, BTC-E,
Онлайн-кошельки: Blockchainlnfo, Block.io


Sanctions 2017
Записка RESTORE_ALL_DATA.html содержит также ссылку на страницу satoshibox.com, где разработчики вымогателя продают ключ дешифрования за 6 биткоинов. Это составляет около $6500 по текущему курсу Bitcoin или примерно 358000 рублей. См. калькулятор валют

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RESTORE_ALL_DATA.html 
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
crannbest@foxmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Sanctions)
 Write-up, Topic
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CradleCore

Cradle Ransomware

CradleCore Ransomware

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель шифрует данные пользователей с помощью Blowfish, а затем требует выкуп в 0.25 - 0.35 BTC, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .cradle

Активность этого крипто-вымогателя пришлась на конец марта - первую половину апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
_HOW_TO_UNLOCK_FILES_.html

Содержание записки о выкупе: 
What happened to my files?
All your documents, pictures, music, and other important files are locked. Your files are locked with military-grade encryption technology.
It is impossible to unlock your files without the secret password and decryption software.
Do not trv to unlock the files yourself - you will certainly damage your files if you try.
What should I do?
You have 2 options:
1. Wait and pray for a miracle that will unlock your files.
2. Purchase the password and decryption software as soon as possible.
If you wait for a mircale, this is what will happen ...
In 7 days the price of the password and decryption software will double.
In 2 weeks, the secret password will be deleted from the server -- and vour files will be locked forever?
How do I purchase the software?
To purchase the password and decryption software, follow these easy steps:
1. Visit one of these web sites:
xxxxs://pn6fsogszhqlx24n.onion.to/5YT
xxxxs://pn6fsogszhqlx24n.onion.cab/5YT
2. If that doesn't work, download and install the Tor Browser at xxxxs://www.torproiect.org/. If you need help, please Google search for "access tor sites".
3. Visit the following web site with the Tor Browser:
xxxx://pn6fsogszhqlxz4n.onion/5YT

Перевод записки на русский язык: 
Что случилось с моими файлами?
Все ваши документы, изображения, музыка и другие файлы блокированы. Ваши файлы блокированы с шифрованием военного уровня.
Невозможно разблокировать ваши файлы без секретного пароля и программы для расшифровки.
Не пытайтесь разблокировать файлы самостоятельно - вы наверняка повредите свои файлы, если попробуете.
Что мне делать?
У вас есть 2 варианта:
1. Подождите и молитесь о чуде, которое разблокирует ваши файлы.
2. Приобретите пароль и программу дешифрования как можно скорее.
Если вы ждете чуда, это то, что произойдет ...
Через 7 дней цена пароля и программы дешифрования удвоится.
Через 2 недели секретный пароль будет удален с сервера - и ваши файлы будут заблокированы навсегда!
Как я могу приобрести программное обеспечение?
Чтобы приобрести программу для восстановления пароля и дешифровки, выполните следующие простые шаги:
1. Посетите один из этих веб-сайтов:
xxxxs://pn6fsogszhqlx24n.onion.to/5YT
xxxxs://pn6fsogs2hqlxz4n.omon.cab/5YT
2. Если это не работает, загрузите и установите Tor Browser с сайта xxxxs://www.torproiect.org/. Если вам нужна помощь, пожалуйста, ищите в Google "access tor sites".
3. Посетите следующий веб-сайт с браузером Tor:
xxxx://pn6fsogszhqlxz4n.onion/5YT

Страницы с Tor-сайта вымогателей:



Содержание текста о выкупе:
Unlock Your Files
You are here because your files are locked with military-grade encryption! To unlock your files you must purchase the decryption software. It is the only way to restore your files.
As soon as payment is received, a software download button will appear on this page. Only software from this site can unlock your files! To bookmark this page press [Ctrl+D].
Payment ID: 5YT
Website: xxxx://pn6fsogszhqlxz4n.onion/5YT
Price: 0.25 Bitcoins ($303.00 US Dollars)
Bitcoin Address: 1H3ycdyFLejVNM1hyji4KUE4m71Hg25WnP
Time Left: 6 days, 1 hrs 54 mins 8 secs
Follow these instructions carefully:
1. Payment must be made in Bitcoin currency. No other form of payment is accepted.
2. Time is running out! The price will double when the time expires!
3. After 14 days of nonpayment, your files will be locked forever!!!
4. DO NOT attempt to restore the files yourself! You WILL destory them if you try.
5. Purchase 0.25 Bitcoins and send to 1H3ycdyFLejVNM1hyji4KUE4m71Hg25WnP
6. Return to this page and download the software.
7. Confirmation of payment can take up to 1 hour. Be patient and check back often.
[Contact For Help]
Where do I Buy Bitcoins?
Bitcoin ATM's near you:
xxxxs://coinatmradar.com/
The best place online to buy Bitcoin is the Buy Bitcoins World Wide website:
xxxxs://www.buybitcoinworldwide.com/
Another website offering quick Bitcoin purchases is LocalBitcoins:
xxxxs://localbitcoins.com/buy_bitcoins
This is the official bitcoin website:
xxxxs://bitcoin.org/

Перевод текста на русский язык:
Разблок твоих файлов
Ты здесь, т.к. твои файлы заблокированы с шифрованием военного уровня! Для разблокировки файлов ты должен купить программу для расшифровки. Это единственный путь для восстановления твоих файлов.
Как только оплата будет получена, на этой странице появится кнопка загрузки программы. Только программа с этого сайта может разблокировать твои файлы! Чтобы добавить эту страницу в закладки  нажмите [Ctrl + D].
ID платежа: 5YT
Веб-сайт: xxxxs://pn6fsoQSzhQlxz4n.onion.to/5X9
Сумма: 0.25 Bitcoins ($303.00 US Dollars)
Биткойн-адрес: 1H3ycdyFLejVNM1hyji4KUE4m71Hg25WnP
Осталось время: 6 дней, 3 часа 50 минут 26 секунд
Внимательно следуйте этим инструкциям:
1. Оплата должна быть в валюте Биткойн. Никакая другая форма оплаты не принимается.
2. Время истекает! Цена будет удвоена, когда истечет время!
3. После 14 дней неплатежа файлы твои будут заблокированы навсегда!!!
4. НЕ пытайтесь восстановить файлы самостоятельно! Вы уничтожите их, если попробуете.
5. Купите 0.25 биткойна и отправьте на 1H3ycdyFLejVNM1hyji4KUE4m71Hg25WnP
6. Вернитесь на эту страницу и скачайте программное обеспечение.
7. Подтверждение оплаты может занять до 1 часа. Будьте терпеливы и часто перепроверяйте.
[Contact For Help]
Где я могу купить биткойны?
***см. ссылки в английском тексте***

Страница с Tor-сайта, представляющая продукт как RaaS
CradleCore

Имеет дополнительный функционал: анти-песочницу, оффлайн-шифрование, получает команды от управляющего сервера через шлюз Tor2Web (onion.link) и пр. См. скриншот ниже.
CradleCore

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Свыше 300 расширений. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Зашифрованные файлы получают следующую специфическую иконку:
CradleCore

Файлы, связанные с этим Ransomware:
_HOW_TO_UNLOCK_FILES_.html
Cradle.exe

Расположения:
\Desktop\_HOW_TO_UNLOCK_FILES_.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://pn6fsoQSzhQlxz4n.onion.to/5X9
https://pn6fsoqszhqlxz4n.onion.to/5YT
https://pn6fsoqszhqlxz4n.onion.cab/5YT
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CradleCore)
 Write-up, Topic
Video review (добавлено 14 апреля 2017)
 Thanks: 
 Michael Gillespie
 Roland Dela Paz (Forcepoint Security Labs)
 Lawrence Abrams
 CrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 30 марта 2017 г.

LanRan

LanRan Ransomware

(тест-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES / RSA, а затем требует выкуп в 0.5 биткоинов за декриптор и дешифровку файлов. Оригинальное название. Разработчик: topol. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> LanRan

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: @__help__@
LanRan Ransomware

Содержание записки о выкупе:
Attention! Your Files has been encrypted By L_A_N_R_A_N@R_A_N_S_0_M_W_A_R_E
Attention! Your personal files are encrypted With RSA-2048 algorithm.
######################
What is encryption?
Encryption is a reversible modification of information for security reasons but providing full access to it for authorized users. To become an authorized user and keep the modification absolutely reversible (in other words to have a possibility to decrypt your files) you should have an individual private key. But not only it. It is required also to have the special decryption software in "LanRan Decryptor" software for safe and complete decryption of all your files and data.
######################
Attention! Attention! Attention! Your Files has been encrypted By L_A_N_R_A_N—R_A_N_S_0_M_W_A_R_E And your personal files are encrypted With RSA-2048 algorithm.
Send 0.5 Bitcoin To @ 1sUCn6JYa7B96t4nZz1tX5muU2W5YxCmS @ [copy Bitcoin] for decrypt your files Contact us By Email: lanran-decrypter@list.ru . If Send 0.5 Bitcoin We will send you the decryption key LanRan Decryptor. It's Your Choice.
----------
good luck

Перевод записки на русский язык:
Внимание! Ваши файлы были зашифрованы L_A_N_R_A_N@R_A_N_S_0_M_W_A_R_E
Внимание! Ваши личные файлы зашифрованы с алгоритмом RSA-2048.
######################
Что такое шифрование?
Шифрование является обратимым изменением информации с целью безопасности и обеспечивает полный доступ к ней для авторизованных пользователей. Чтобы стать авторизованным пользователем и сделать изменения абсолютно обратимыми (иначе говоря, чтобы иметь возможность расшифровать ваши файлы), вы должны иметь индивидуальный закрытый ключ. Но не только это. Требуется также иметь специальный софт для дешифрования программу "LanRan Decryptor" для безопасного и полного дешифрования всех ваших файлов и данных.
######################
Внимание! Внимание! Внимание! Ваши файлы были зашифрованы L_A_N_R_A_N-R_A_N_S_0_M_W_A_R_E А ваши персональные файлы зашифрованы с алгоритмом RSA-2048.
Отправь 0,5 биткойна на @ 1sUCn6JYa7B96t4nZz1tX5muU2W5YxCmS @ [copy Bitcoin] для расшифровки твоих файлов. Свяжись с нами по email: lanran-decrypter@list.ru. Если отправищь 0,5 биткойн, мы вышлем тебе ключ расшифровки LanRan Decryptor. Это твой выбор.
----------
удачи

По предварительным данным, LanRan пока лишь устанавливает фон и отображает экран блокировки.

Пока находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
@__help__@
lan.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: lanran-decrypter@list.ru
BTC: 1sUCn6JYa7B96t4nZz1tX5muU2W5YxCmS
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Karsten Hahn
 JaromirHorejsi
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 29 марта 2017 г.

DoNotChange

DoNotChange Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в $250 - $400, чтобы вернуть файлы. Оригинальное название. Написан на AutoIt. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение по шаблону 
[original_file_name].id-[ID_victim].cry

Например для жертвы с ID 7ES642406 файлы будут иметь вид
[original_file_name].id-7ES642406.cry
testtar.tar.id-7ES642406.cry
powerpnt.ppt.id-7ES642406.cry
news.png.id-7ES642406.cry
LICENSE.txt.id-7ES642406.cry
netmeet.htm.id-7ES642406.cry 


DoNotChange Ransomware
Примеры зашифрованных файлов и записка о выкупе

Второй вариант этого вымогателя использует расширение: .Do_not_change_the_file_name.cryp

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
HOW TO DECODE FILES!!!.txt - на английском
КАК РАСШИФРОВАТЬ ФАЙЛЫ!!!.txt - на русском
DoNotChange Ransomware

Содержание записки о выкупе:
**************************************************************
ATTENTION!!! Changing the file name makes the restore process impossible!
**************************************************************
Your data is encrypted.
To receive a program of decoding, You need to pay ~ $250 and
You need to send the personal code:
7ES642406
To the email address tom.anderson@india.com,DE_coDER@mail2tor.com,scryptx@meta.ua
Then you will receive all the necessary instructions.
Attempts to decipher independently wi11 not lead to anything, except irretrievable loss of information.
We respond to all emails, if there is no answer within 10 hours, duplicate your letter other email services.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
install it and type the following address into tne address bar:
http://5akvz3kp6qbqmpoo.onion/
Thank you for your attention and have a good day.
**************************************************************
ATTENTION!!! Changing the file name makes the restore process impossible!
**************************************************************

Перевод записки на русский язык (оригинальный, все ошибки грамотеев-вымогателей сохранены!!!):
**************************************************************
ВНИМАНИЕ!!! Изменение имени файлов делает процесс восстановления невозможным!
**************************************************************
Ваши данные закодированны.
Для получения программы по раскодировки от вас требуется оплата ~250$ для этого
Вам необходимо отправить код:
7ES642406
На электронный адрес tom.anderson@india.com,DE_coDER@mail2tor.com,scryptx@meta.ua
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Расшифровка без уникального ключа не возможна, все доступные декодоры для вас без полезны.
Если сами не будете затягивать - то через 1-2 часа сможете продолжать работу как ни в чем ни бывало + избавитесь от лазеек в системе и никто вас более не потревожит.
Если вы не получили от нас ответа, попробуйте для связи использовать публичные почтовые сервисы: mail.ru, rambler.ru и т.д.
Мы отвечаем на все письма, если ответа нет в течении 10 часов, продублируйте свое письмо с других почтовых сервисов.
Если вы не получили ответа по вышеуkазанным адресам в течение 48 часов (и тольkо в этом случае!), Скачайте и установите Tor Browser по ссылkе:
https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
http://5akvz3kp6qbqmpoo.onion/
Спасибо за внимание и хорошего Вам дня.
**************************************************************
ВНИМАНИЕ!!! Изменение имени файлов делает процесс восстановления невозможным!
**************************************************************

👉 Примечательно, что в русскоязычном варианте записки дюжина ошибок, не считая замены русских букв английскими. Этот способ был ранее использован в других вымогательских кампаниях. 

 Второй вариант записок на английском и русском языках, того же вымогателя, который добавляет расширение .Do_not_change_the_file_name.cryp
*************************************************************
ATTENTION!!! Changing the file name makes the restore process impossible!
*************************************************************
Your data is encrypted.
To receive a program of decoding, You need to pay ~ $400 and
You need to send the personal code:
|WOLIs|Pr|HvstJ)|soVOKt0jmmaAykAIL4
To the email address robert.swat@qip.ru
Then you will receive all the necessary instructions.
Attempts to decipher independently will not lead to anything, except irretrievable loss of information.
We respond to all emails, if there is no answer within 10 hours, duplicate your letter  other email services.
Thank you for your attention and have a good day.
*************************************************************
ATTENTION!!! Changing the file name makes the restore process impossible!
*************************************************************
************************************************************
ВНИМАНИЕ!!! Изменение имени файлов делает процесс восстановления невозможным!
************************************************************
Ваши данные закодированны.
Для получения программы по раскодировки от вас требуется оплата ~400$ для этого Вам необходимо отправить код:
|WOLIs|Pr|HvstJ)|soVOKt0jmmaAykAIL4
На электронный адрес tom.anderson@india.com,DE_CODER@mail2tor.com,scryptx@meta.ua
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если сами не будете затягивать - то через 1-2 часа сможете продолжать работу как ни в чем ни бывало + избавитесь от лазеек в системе и никто вас более не потревожит.
Если вы не получили от нас ответа, попробуйте для связи использовать публичные почтовые сервисы: mail.ru, rambler.ru и т.д.
Мы отвечаем на все письма, если ответа нет в течении 10 часов, продублируйте свое письмо с других почтовых сервисов.
Спасибо за внимание и хорошего Вам дня.
************************************************************
ВНИМАНИЕ!!! Изменение имени файлов делает процесс восстановления невозможным!  
************************************************************


Tor-сайт вымогателей

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

UAC не обходит. Требуется разрешение пользователя на запуск вредоноса. 

Список файловых расширений, подвергающихся шифрованию:
.0, .1cd, .3dp, .3gp, .7z, .abk, .abs, .accdb, .as, .ate, .avi, .bac, .backu, .bak, .bin, .bkc, .bkf, .bkp, .bls, .bpn, .c, .cab, .cbk, .cbu, .cdd, .cdr, .cdw, .cdx, .cer, .cf, .cfu, .cgm, .ck9, .cmx, .cpp, .cpt, .cs, .csr, .csv, .dat, .db, .db2, .db3, .dba, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dcb, .dd, .ddl, .dds, .df1, .dgn, .dmo, .doc, .docm, .docx, .dp1, .dt, .dwg, .dxf, .dxl, .eap, .eco, .edb, .emd, .eml, .epf, .eps, .eql, .erf, .ert, .ext, .fbf, .fbu, .fcd, .fh, .flb, .flkb, .frf, .frm, .frm, .frx, .gdb, .gpx, .gzip, .hdr, .htm, .html, .igs, .java, .jpeg, .jpg, .jse, .json, .jsp, .key, .ldf, .mac, .md, .mdb, .mdf, .mdx, .mft, .mp4, .mpeg, .msf, .msg, .mxl, .myd, .myi, .nam, .nb7, .nbd, .nbk, .nbs, .ncb, .nch, .ndoc, .nofiles, .npf, .ns2, .ns3, .ns4, .nyf, .obkp, .ods, .odt, .old, .one, .ora, .pan, .pas, .pdb, .pdf, .pdm, .pdn, .phm, .pl, .png, .pps, .ppsm, .ppt, .pptm, .pptx, .ps, .psd, .pst, .py, .rar, .ref, .reg, .rsd, .rtf, .sai, .sbb, .sbf, .sdb, .sdf, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .svg, .tar, .tbb, .tbn, .tdt, .te, .tib, .txt, .uci, .udb, .usr, .vbe, .vbp, .vbs, .vbx, .vhd, .vmdk, .vrp, .xds, .xld, .xls, .xlsm, .xlsx, .xml, .zip (193 расширения).  

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECODE FILES!!!.txt
КАК РАСШИФРОВАТЬ ФАЙЛЫ!!!.txt
<random>.exe
+ извлекается множество файлов

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
tom.anderson@india.com
DE_CODER@mail2tor.com
scryptx@meta.ua
robert.swat@qip.ru - почта из второго варианта
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 26 июня 2017:
Записки: 
HOW TO DECODE FILES!!!.txt - на английском
КАК РАСШИФРОВАТЬ ФАЙЛЫ!!!.txt - на русском
Расширение: .id-4R4NZ0109.cry
Целевые типы файлов:
 1cd, .3gp, .7z, .abk, .abs, .accdb, .as, .ate, .bac, .backu, .bak, .bin, .bkc, .bkf, .bkp, .bls, .bpn, .c, .cab, .cbk, .cbu, .cdd, .cdr, .cdw, .cdx, .cer, .cf, .cfu, .cgm, .ck9, .cmx, .cpp, .cpt, .cs, .csr, .csv, .dat, .db, .db2, .db3, .dba, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dcb, .dd, .ddl, .dds, .df1, .dgn, .dmo, .doc, .docm, .docx, .dp1, .dt, .dwg, .dxf, .dxl, .eap, .eco, .edb, .emd, .eml, .epf, .eps, .eql, .erf, .ert, .ext, .fbf, .fbu, .fcd, .fh, .flb, .flkb, .frf, .frm, .frm, .frx, .gdb, .gpx, .gzip, .hdr, .igs, .java, .jse, .json, .jsp, .key, .ldf, .mac, .md, .mdb, .mdf, .mdx, .mft, .mpeg, .msf, .msg, .mxl, .myd, .myi, .myo, .nam, .nb7, .nbd, .nbk, .nbs, .ncb, .nch, .ndoc, .nofiles, .npf, .ns2, .ns3, .ns4, .nyf, .obkp, .ods, .odt, .old, .one, .ora, .pan, .pas, .pdb, .pdm, .pdn, .phm, .pl, .pps, .ppsm, .ppt, .pptm, .pptx, .ps, .psd, .pst, .py, .rar, .ref, .reg, .rsd, .rtf, .sai, .sbb, .sbf, .sdb, .sdf, .spf, .spi, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .svg, .tar, .tbb, .tbn, .tdt, .te, .tib, .uci, .udb, .usr, .vbe, .vbp, .vbs, .vbx, .vhd, .vmdk, .vrp, .xds, .xld, .xls, .xlsm, .xlsx, .xml, .zip (185 расширений). 
Результаты анализов: HA+VT

Внимание! 
Если у вас ID 7ES642406, то можно дешифровать файлы!
По дешифровке файлов пишите в тему на форуме BC >>

Attention!
For decryption, please contact in the BC-forum topic >>
The victims with ID 7ES642406 are in the first place!!!
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as DoNotChange)
 Write-up, Topic on BC
 Video review
 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 GrujaRS
 Thyrex, Karsten Hahn‏ 

© Amigo-A (Andrew Ivanov): All blog articles.

French HT

French HT Ransomware
Putty Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название: Putty. Фальш-имя: CamSnap. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> French HT

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CamSnap.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё  >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

NxRansomware

NxRansomware Ransomware

(шифровальщик-вымогатель, Open Source)


Это вымогательский Open Source проект, выложен на GitHub в конце марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Разработчик: Guilherme Bacellar Moralez. Ник в GitHub: guibacellar. 
Среда разработки: .Net Framework 4.5 + C&C System
Шифрование: AES / RSA
Исполняемый файл: GoogleUpdate.exe
Результаты анализов: HA + VT
Фальш-имя: Google Software Update. 
Фальш-копирайт: Google Inc. 
Этимология названия: Nx = Next / т.е Next Ransomware 

К зашифрованным файлам добавляется настраиваемое расширение, например, .lock

Запиской с требованием выкупа выступает экран блокировки, в котором можно написать свой текст. 


Технические детали + IOC

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.AVI, .C, .CLASS, .CONFIG, .CPP, .CS, .CSC, .DBX, .DOC, .DOCX, .EML, .GIF, .GZ, .H, .JAVA, .JPG, .JS, .JSON, .JSP, .MBX, .MP3, .MP4, .MPEG, .MSG, .NEF, .PDF, .PHP, .PNG, .PPT, .PPTX, .PST, .PY, .R, .RAR, .TAR, .TXT, .VB, .VBS, .WAB, .XAML, .XLS, .XLSX, .ZIP (43 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы, скрипты и пр.

Файлы, связанные с этим Ransomware:
GoogleUpdate.exe
master_pri_key.info
master_public_key.info

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 декабря 2017:
Пост в Твиттере >>
Файл: GoogleUpdate1.exe
Фальш-имя: Google Update1
Результаты нализов: VB + VT + TG
➤ Содержание записки: 
I'll Make you Cry :D:D
---
What has happened To your Computer?
Your computer has been encrypted
Its better to pay ransom
Or we are going to make you feel sorry
Then nobody will help you out
Can I Recover my files back?
Yes you can. Just pay us the bit coins and we will send you decryption code
Then paste that code inside the decryption module and get everything back
How do I pay bitcoin?
Just follow the link below.
Buy and send us.
---
Send Us BitCoins of $300 worth and we will send you decryption key:
12t9dfsad5fsd6das5da64f98f4a5sasdsak

 










=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as NxRansomware)
 Write-up, Topic
 Thanks: 
 Michael Gillespie
 Karsten Hahn
 Alex Svirid

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *