Help50 Ransomware
Dat Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью логической операции OR, а затем указывает только email для связи. Оригинальное название: нигде не было указано. Поэтому для названия статьи и вымогателя был использован логин из почты вымогателей.
Это изображение логотип статьи
К зашифрованным файлам добавляется расширение .dat
Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: DECRYPT_FILES.txt
Содержание записки о выкупе:
help50@yandex.ru
!!! Файлы в этом образце были зашифрованы порциями по 8 Мб и безвозвратно повреждены, из-за использования необратимой логической операции OR. Уплата выкупа бесполезна!!!
!!! В новых образцах шифратора возможна расшифровка силами специалистов.
Смотрите ссылки на форум под статьей в блоке =БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS=
Технические детали
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Наиболее известным распространением, о которым сообщают пострадавшие, является фальшивое обновление для программы RedirectGen.exe, которое устанавливает шифровальщик. Этот файл представлен на анализ в апреле 2017 г. (ссылка). На VirusTotal представлен полный пакет, используемый для распространения через обновлений этого шифровальщика (ссылка). Смотрите там в разделе "Сведения о файле" файл Project1.exe и его отдельный анализ.
Второй известный способ распространения через программу PR Manager VK. На VirusTotal представлен полный пакет, используемый для распространения через обновлений этого шифровальщика (ссылка). Смотрите там в разделе "Сведения о файле" файл Project1.exe и его отдельный анализ.
Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp,
.7z , .ac3, .ape, .avi, .bmp, .cdr, .cer, .dbf, .divx, .djvu, .doc, .docx, .dwg,
.flac, .flv, .gif, .gzip, .htm, .html, .ifo, .jpeg, .jpg, .kwm, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png,
.ppt, .pptx, .psd, .pwm, .rar, .tar, .txt, .vob, .wav, .wma, .wmv, .xls,
.xlsx (54 расширения) + .zip в версии от 12.12.2017 (итого 55 расширений).
Файлы, связанные с этим Ransomware:
setup.exe или Setup.exe
project1.exe или Project1.exe
DECRYPT_FILES.txt или DecryptFiles.txt
RedirectGen.exe
redirectgen.exe
Qt5Core.dll
%WINDIR%\SYSTEM32\sechost.dll
%WINDIR%\system32\MSVCP100.dll
%WINDIR%\system32\MSVCR100.dll
%PROGRAMFILES%\Wireshark\Qt5Core.dll
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: help50@yandex.ru
Satana@mail.ru
URL: xxxx://bitsatan.do.am/other/RedirectGen.txt
xxxx://server64.blogspot.com/p/blog-page_4.html
См. ниже результаты анализов.
Результаты анализов:
Hybrid анализ >> HA>>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Предистория:
Информация от 15 октября 2016:
Email: Satana@mail.ru, bitSatana@mail.ru
Адреса URL из uCoz, участвовавшие в распространении вируса:
xxxx://disembark502.clan.su/
xxxx://justness.clan.su/
xxxx://cashlink.do.am/
xxxx://www.sound30.usite.pro/
xxxx://kazesynelj.do.am/
Файл вредоносного проекта: D:\Projects\WinRAR\SFX\build\sfxrar32\Release\sfxrar.pdb
Файл вредоносного проекта: D:\CFILES\Projects\WinSSL\openssl-1.0.2h\out32dll\ssleay32.pdb
Файл EXE: RedirectGen.exe
Результаты анализов: HA + VT
Обновление от 30 ноября 2017:
Записка: DECRYPT_FILES.txt
Email: help50@yandex.ru
Шифрование: AES-128
Файлы можно дешифровать!
Шифрование AES-128, выполняется со статичным ключом, который генерируется случайным образом (разный ключ при каждом запуске), потом накрывается шифром RSA-2048 и затем помещается в конец файла. Пока нет изменений в работе шифровальщика, то имея пару файлов зашифрованный и незашифрованный, можно подобрать ключ дешифрования.
---
Обновление от 12 декабря 2017:
В список расширений добавились файлы с расширением .zip
Ключ шифрования генерируется иначе и он разный для каждого файла. Дешифрование файлов без RSA-ключа теперь практически невозможно.
Обновление от 2 марта 2018:
Вымогатели теперь используют алгоритм RSA для шифрования файлов.
Прежний способ дешифровки не будет работать.
Обновление от 15 июня 2018:
Расширение: .dat
Email: blackmagic8@yandex.com
Записка: DecryptFiles.txt
blackmagic8@yandex.com
Топик на форуме >>
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно дешифровать! Это непросто, но в некоторых случаях возможно. Обращайтесь по ссылке к консультанту thyrex Создайте там новую тему "Help50 зашифровал файлы".
Read to links: Topic on Cyberforum.ru ID Ransomware (ID as Help50) Write-up, Topic *
Thanks: Thyrex, Michael Gillespie Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
как востонавить шифрованные файлы??
ОтветитьУдалитьПока мало информации о данном шифровальщике. Выше, в статье красным цветом написана важная информация. Можете попробовать, вдруг ваш случай не так безнадёжен. Обратитесь в этот раздел форума VirusInfo, укажите название вымогателя, которое указано здесь: https://virusinfo.info/forumdisplay.php?f=194
Удалитьновой информации нет как справиться с этим вирусом?
ОтветитьУдалитьОтветил в письме.
УдалитьЗдравствуйте! Хочу выразить огромную благодарность автору статьи Amigo A за то, что он мне порекомендовал обратиться на форум https://forum.kasperskyclub.ru/index.php?act=idx к консультанту Thyrex, который оказал практическую помощь в расшифровке моих документов. Все зашифрованные документы были расшифрованы без потерь.Хотя, везде где я только не писал по поводу этого шифратора, 99.9% пользователей говорили что решить проблему нельзя. Так что если кто-то столкнулся с подобной проблемой переходите по ссылке и в разделе ПОМОЩЬ\УНИЧТОЖЕНИЕ ВИРУСОВ создаете тему(при создании темы смотрите порядок оформления запроса о помощи).Еще раз огромное спасибо автору за статью и помощь.
ОтветитьУдалитьvirustotal: [URL="https://www.virustotal.com/ru/file/4c382726168b13510e10254c57b7bb4b70ba71f03e23f2ff812435d2cb738bd1/analysis/1547137811/"]https://www.virustotal.com/ru/file/4c382726168b13510e10254c57b7bb4b70ba71f03e23f2ff812435d2cb738bd1/analysis/1547137811/[/URL] [IMG]http://images.vfl.ru/ii/1547142421/d4330c3e/24896989.png[/IMG]
ОтветитьУдалитьАрхив с !вирусом .dat шифровальщиком, для создания декриптора: [url]https://yadi.sk/d/RIM63t0DLYUosQ[/url]
Список файлов Trojan Ransom шифровальщика в архиве: [IMG]http://images.vfl.ru/ii/1547142421/2443c956/24896988.png[/IMG]
Файл закриптованный в .dat вирусом: [url]http://www.mediafire.com/file/0x5cxhktbxocsne/%25D0%2594%25D0%25BB%25D1%258F_%25D0%25BF%25D1%2580%25D0%25BE%25D0%25B4%25D0%25B2%25D0%25B8%25D0%25B6%25D0%25B5%25D0%25BD%25D0%25B8%25D1%258F_%25D1%2581%25D0%25B2%25D0%25BE%25D0%25B5%25D0%25B3%25D0%25BE_%25D0%25B0%25D0%25BA%25D0%25BA%25D0%25B0%25D1%2583%25D0%25BD%25D1%2582%25D0%25B0.pdf.dat/file[/url]
Тот же файл оригинальный и не зашифрованный: [url]http://www.mediafire.com/file/377rufvsccp7cll/%D0%94%D0%BB%D1%8F_%D0%BF%D1%80%D0%BE%D0%B4%D0%B2%D0%B8%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F_%D1%81%D0%B2%D0%BE%D0%B5%D0%B3%D0%BE_%D0%B0%D0%BA%D0%BA%D0%B0%D1%83%D0%BD%D1%82%D0%B0.pdf[/url]
В программе RedirectGen всплывает сообщение, о том, что вышла новая версия:
[IMG]http://images.vfl.ru/ii/1547142421/4859836c/24896987.png[/IMG]
, но на самом деле в архиве исполняемый файл называется не RedirectGen.exe, а Project1.exe и содержит вирус-шифровальщик.
Всего вирус прошёлся по 3800 папкам [IMG]http://images.vfl.ru/ii/1547142422/fce6153c/24896990.png[/IMG] и оставил там файл "DecryptFiles.txt" [IMG]http://images.vfl.ru/ii/1547142423/94265556/24896991.png[/IMG]
с почтой "blackmagic8@yandex.com" Дата шифрования файлов вирусом, примерно 3:40 09.01.2019 [CENTER][IMG]http://images.vfl.ru/ii/1547142421/f221dddb/24896986.png[/IMG][/CENTER]
Скрин работы Kaspersky RectorDecryptor(нашёл много файлов, которые не относятся к зашифрованным): [IMG]http://images.vfl.ru/ii/1547142423/274c5280/24896993.png[/IMG]
[COLOR="#000000"][B]Что известно об этом вирусе[/B][/COLOR]:
Расширение: .dat
Email: [email]blackmagic8@yandex.com[/email]
Записка: DecryptFiles.txt
Содержание записки:
[email]blackmagic8@yandex.com[/email]
P.S
Нашёл программу для дешифровки [IMG]http://images.vfl.ru/ii/1547142420/ad88fe88/24896985.png[/IMG], но нужно вытащить ключ из этого трояна, который он использовал для шифровки в .dat и эта версия TeslaDecoder, не поддерживает .dat расшифровку.
Найденный дешифратор вряд ли будет полезен.
УдалитьВам лучше обратиться на форум
https://forum.kasperskyclub.ru/index.php?s=be6dbb5befc06ed75c340c7b87d9c44d&showforum=26
к специалисту с ником thyrex. Иногда можно расшифровать файлы, но каждый раз вымогатели что-то изменяют.
Тема про тот же шифратор https://forum.kasperskyclub.ru/index.php?showtopic=59618