пятница, 24 марта 2017 г.

BTCWare

BTCWare Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью RC4 (шифруются куски менее 1 Кб), а затем на странице Tor-сайта требует выкуп в 0.5 биткоинов, чтобы вернуть файлы. Оригинальное название.

Позже (в последующих версиях) стало использоваться шифрование AES-192 или AES-256. См. ниже ссылки на отдельные статьи, отражающие развитие этого вредоносного ПО, пошедшего по рукам. 
BTCWare Ransomware
Логотип шифровальщика разработан на этом сайте ID-Ransomware.RU
Стилизация под изображение биткоинов (англ. BTC) в чёрном цвете.

© Генеалогия: CrptXXX > BTCWare

К зашифрованным файлам первых версий добавлялось расширение .btcware

В новых версиях использовались следующие расширения:
.cryptobyte в шаблоне .[<email>].cryptobyte
.cryptowin в шаблоне .[<email>].cryptowin
.theva в шаблоне .[<email>].theva
.xfile в шаблоне .[<email>].xfile
.onyon в шаблоне .[<email>].onyon
.blocking в шаблоне .[<email>].blocking
.master в шаблоне .[<email>].master 
.aleta в шаблоне .[<email>].aleta
.gryphon в шаблоне .[<email>].gryphon
.nuclear в шаблоне .[<email>].nuclear и .[<email>]-id-<id>.nuclear
.wyvern в шаблоне .[email]-id-<id>.wyvern 
.payday в шаблоне .[<email>]-id-<id>.payday




BTCWare Family (семейство BTCWare):
BTCWare Original: .btcware, .cryptobyte, .cryptowin, .theva
BTCWare other progeny: .xfile, .blocking, .encrypted, .crypton
BTCWare-Onyon: .onyon
BTCWare-Master: .master
BTCWare-Aleta: .aleta
BTCWare-Gryphon: .gryphon и другие
BTCWare-Nuclear: .nuclear
BTCWare-Wyvern: .wyvern
BTCWare-PayDay: .payday




Активность первых версий этого крипто-вымогателя пришлась на конец марта 2017 г. 
Фактически действовал с ноября 2016 года, оставаясь прошедшее время неидентифицированным. 
Ориентирован на англоязычных и испаноязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
#_HOW_TO_FIX_!.hta и READ ME.txt


Содержание текстовой записки о выкупе:
Hi, I infiltrate your system in your system Small Diameter I found Open and TIM encrypted files in Figure I Kirilmiycak
Password we have created as a term of 12 Eger Clock Transformation yapilmass encrypt with the self-destruction of my files to edicem
You've done a nonsense question why not check mail asking why he did how did you throw your silly hair mails
alamiycaks answer your funny figures do not offer you just specify your e-mail us to dispose of sufficient olucam REFERENCE NUMBERS
We determined we price according to price your reference number that you go to the center belirtcez verikurtar olucaktir reason to spend anchor bose
geзmiyce is a sheer waste of time on your hands like I said, when we chose has nonetheless self-destruct after 12 hours to edicem
ediceks payment receiving, we have time to continue where the old scale leakage and a taller one thing you will certainly basia gelmiyce
aзiginizi security laws in something you do not taller than the one that you said belirticez after 30 minutes after receiving the payment system
olucaktir as you suspected it before we olmasin mail address
    Best regards

Hola He encontrado en su sistema, que infiltrarse en su sistema en el pequeño diámetro y tum archivos cifrados en la Figura I Kirilmiycak
Contraseña hemos creado como un término de 12 cifrar Eger Reloj Transformación yapilmass con la autodestrucción de mis archivos a edicem
Usted ha hecho una pregunta sin sentido por qué no comprobar el correo preguntando por qué no ¿cómo lanzar su correo electrónico para el cabello tontas
divertidas figuras no ofrecen respuestas a sus alamiycaks lo suficiente nos olucam proporcionar su dirección de correo electrónico que pone a cabo la cuerda
cuerda establecido de acuerdo con el precio que tenemos que ir a Dresde ese precio belirtcez verikurtar la razón olucaktir centro de anclaje para pasar Bose
geçmiyce es una pura pérdida de tiempo en sus manos, como he dicho, cuando elegimos tiene, no obstante, se autodestruyen después de 12 horas a edicem
ediceks de recibir el pago, tenemos tiempo para seguir donde el viejo fugas escala y uno más alto que se quiere gelmiyce duda Basia
las leyes de seguridad açiginizi en algo que se hace no más alto que el que usted ha dicho belirticez después de 30 minutos después de recibir el sistema de pago
olucaktir como usted sospechaba que antes de que olmasin correo electrónico
    saludos
yedekveri258@gmail.com
yedekveri258@gmail.com
REFERANS NUMARANIZ:02

Перевод записки на русский язык:
Привет, я проник вашу систему в вашу систему... Я нашел открытые файлы и зашифровал...
Пароль, который мы создали как срок действия 12 часов...
Вы сделали бессмысленный вопрос, почему бы не проверить почту, спрашивая, почему он сделал, как вы бросили свои глупые письма...
Ответьте на ваши смешные цифры, не предлагайте вам просто указать свой адрес электронной почты нам, чтобы избавиться от достаточного количества...
Мы определили, что мы оцениваем цену в соответствии с ценой вашего ссылочного номера, который вы отправляете в центр...
Это пустая трата времени на ваших руках, как я уже сказал, когда мы выбрали, тем не менее, самоуничтожение через 12 часов до получения платежей, у нас есть время, чтобы продолжить, когда старая утечка по шкале и более высокая вещь, которую вы, безусловно, будете использовать.
Законы безопасности в чем-то, что вы не выше, чем тот, который вы сказали через 30 минут после получения платежной системы
Как вы подозревали, прежде чем мы отправим почтовый адрес
    С наилучшими пожеланиями
yedekveri258@gmail.com
yedekveri258@gmail.com
REFERANS NUMARANIZ:02

Несмотря на то, что эти бредовые записки написаны на английском и испанском, в них присутствуют турецкие слова, которые правильно не будут переведены. 



Технические детали

Распространяется с помощью атак по RDP, также может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Уничтожает или скрывает файлы на несистемных дисках. 
На всех дисках оставляет записки READ ME.txt
ID жертвы BTCWare - это ключ AES, зашифрованный c RSA, а затем base64.

Удаляет теневые копии файлов. Отключает восстановление загрузки системы и точки восстановления.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#_HOW_TO_FIX_!.hta
READ ME.txt
mfskskfkls.exe
<ransom>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://vp6cnu4cw7fnc4z5.onion.to
xxxx://dokg5gcojuswihof.onion.to
yedeksecurty@gmail.com
yedekveri258@gmail.com
Telegram: @decryps
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

Обновление от 11 апреля 2017:
Email: lineasupport@protonmail.com

Обновление от 26 апреля 2017:
Пост в Твиттере >>
Файл: czsdxxs.exe
Записка: #_HOW_TO_FIX.inf
Шифрование: RC4 (куски менее 1 Кб)
Расширения: .cryptobyte
.[no.btc@protonmail.ch].cryptobyte
.[decrypts@protonmail.com].cryptobyte
Email: no.btc@protonmail.ch
decrypts@protonmail.com
Результаты анализов: VT

Обновление от 3 мая 2017:
Пост в Твиттере >>  Ещё >> Ещё >>
Записка: #_HOW_TO_FIX.inf
Шифрование: AES-192 (куски менее 1 Кб)
Расширения: .cryptowin
.[no.btc@protonmail.ch].cryptowin
.[decrypter@protonmail.ch].cryptowin
Email: no.btc@protonmail.ch
decrypter@protonmail.ch
Результаты анализов: HA+VT // HA+VT
Текст записки:
All your files have been encrypted
If you want to restore them, write us to the e-mail: decrypter@protonmail.ch
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
FREE DECRYPTION AS GUARANTEE
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 10Mb
Attention!
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 3 days - your key has been deleted and you cant decrypt your files
Your ID: ieysrELVybpaeGIZQzZc9vG83S227rePFzoHpLcPxHL0CqxdcAMMh+tn/MXWAcMzRyL+M9Xz11+res3iQfiZVagDnFAnx7CJh8YKwVh6Jqa9s6yFfRl0IRDtu/oEHRW1uE+Fbr7owYjyGt/FLtRjdf+tQ2pTZ7PcX8qHpSoufZg=


Обновление от 9 мая 2017:
Пост в Твиттере >> 
Шифрование: AES-192 (куски менее 1 Кб)
Расширение: .[sql772@aol.com].theva
Email: sql772@aol.com
Записка: #_README_#.inf
Результаты анализов: HA+VT

Обновление от 15 мая 2017:
Шифрование: RC4 (только первые 10 Мб)
Записка: !#_DECRYPT_#!.inf
Email: decrypter@onyon.su
tk.btcw@protonmail.ch
См. статью Onyon Ransomware

Обновление от 25 мая 2017:
Пост в Твиттере >> 
Расширение: .xfile
Шифрование: RC4 (только первые 10 Мб)
Записка: !#_DECRYPT_#!.inf

Обновление от 6 июня 2017:
Шифрование: AES-256 (только первые 10 Мб)
Расширение: .blocking в составе шаблонов:
.[avalona.toga@aol.com].blocking
.[3bitcoins@protonmail.com].blocking
Email: avalona.toga@aol.com
Записка: !#_RESTORE_FILES_#!.inf
Тема поддержки >>
Результаты анализов: HA+VT

Обновление от 26 июня 2017:
Шифрование: AES-256 (только первые 10 Мб)
Записка: !#_RESTORE_FILES_#!.inf
Расширение: .[westbleep@india.com].master 
Email: westbleep@india.com
См. статью Master Ransomware

Обновление от 2 июля 2017:
Шифрование: AES-256 (только первые 10 Мб)
Записка: !#_READ_ME_#!.inf
Расширение: .[black.mirror@qq.com].aleta
Email: black.mirror@qq.com
См. статью Aleta Ransomware

Обновление от 4 июля 2017:
Пост в Твиттере >>
Файл:  zeifjozej.exe
Шифрование: AES-256 (только первые 10 Мб)
Записка: !#_RESTORE_FILES_#!.inf
Расширение: .[darkwaiderr@cock.li].master
Email: darkwaiderr@cock.li
Результаты анализов: VT
См. статью Master Ransomware


Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter для дешифровки >>
Поддерживаются расширения: 
.btcware, .cryptobyte, .cryptowin, .theva, .onyon, 
.blocking, .master, .aleta, .gryphon, .nuclear, .wyvern
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BTCWare)
 Write-up, Topic of Support + ранний инцидент
 * 
 Thanks: 
 MalwareHunterTeam‏, Michael Gillespie
 Lawrence Abrams
 Karsten Hahn
 David0353
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton