Если вы не видите здесь изображений, то используйте VPN.

понедельник, 31 июля 2017 г.

Sifreli 2017

Sifreli 2017 Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует купить пароль, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Sifreli 2014 > Sifreli 2017 > Sifreli 2019

К зашифрованным файлам добавляется расширение .sifreli 

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на турецкоязычных пользователей, что не мешает распространять его по всему миру. 
В 2014 г. был известен вымогатель с таким же названием, возможны родство или имитация. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
!!! SİSTEMİNİZ HACKLENDI!!!
Merhabalar,
Ben sistem açıklarını araştırıp bulan ve bu şekilde para kazanan bir sistem mühendisiyim.
Şirketinizin sistemlerinde bir açık buldum ve sisteminizi hackledim.
Şirketinizle ilgili bütün bilgilerinizi ele geçirdim ve sisteminizdeki ayrıca ağınızdaki tüm verileri şifreledim. Şayet bu bilgileri geri almak isterseniz ve şifreyi satın almak için benimle iletişime geçiniz.
e-mail: muhendis@mail.ua
Aksi taktirde ele geçirilen bilgiler internet ortamında yayınlanacaktır.
***
Encrypted Session Key:
A7198E2418228817B96F8(85F228C4(FD1014EF4E06F8589F5236ADE D28E34 F4574838F61CF9352ADE55777539007D62729A7B8CF17DD54E07DD56E7867A6413ABF8295D8C4F
***

Перевод записки на русский язык:
!!! ТВОЯ СИСТЕМА ВЗЛОМАНА !!!
Привет всем,
Я системный инженер, исследую системы и получаю деньги за работу.
Я нашел уязвимую систему в вашей компании, и я взломал вашу систему.
Мы захватили всю информацию о вашей компании, и я также шифровал все данные по сети в вашей системе. Если вы хотите получить эту информацию, то, пожалуйста, свяжитесь со мной, чтобы купить пароль.
Email: muhendis@mail.ua
В противном случае захваченная информация будет опубликована в Интернете.
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
<txt_file>.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: muhends@mail.ua
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up (2014), Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FCP

FCP Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем сообщает, как вернуть файлы. Оригинальное название: FCPRansomware. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется. Файлы только переименовываются. 
Примечательно, что собственный декриптер возвращает файлы в нормальное состояние. 

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на китайскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME_HELP_ME.txt
Другим информатором жертв выступает экран блокировки, где написан текст на китайском и английском:

Содержание записки о выкупе:
Ooops,your important files have been encrypted!
... Here the text is written in Chinese ...
Is the content of your files not readable? It is normal, because your important files have been encrypted by the "FCP Ransomware". It means your files are NOT DAMAGED! Your files are just encrypted. From now it is not possible to use your files until they will be decrypted. The only way to decrypt your files safely is use special decryption tool "FCP Decryptor". Please wait for "FCP Decryptor" to start automatically. If "FCP Decryptor" does not start automatically, open "FCP Decryptor" on the desktop.

Перевод записки на русский язык:
Упс, ваши важные файлы были зашифрованы!
... Здесь текст написан на китайском языке ...
Содержимое ваших файлов недоступно для чтения? Это нормально, потому что ваши важные файлы были зашифрованы "FCP Ransomware". Это значит, что ваши файлы НЕ ПОВРЕЖДЕНЫ! Ваши файлы просто зашифрованы. Пока файлы не будут дешифрованы, использовать файлы невозможно. Единственный способ безопасного дешифрования файлов - использовать специальный инструмент дешифрования "FCP Decryptor". Подождите, пока "FCP Decryptor" запустится автоматически. Если "FCP Decryptor" не запускается автоматически, откройте "FCP Decryptor" на рабочем столе.


Окна декриптера




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME_HELP_ME.txt
FCPRansomware.exe
FCPDecryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as FCPRansomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 S!Ri
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

BTCWare-Gryphon

Gryphon Ransomware 
BTCWare-Gryphon Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GRYPHON RANSOMWARE. На файле может быть написано, что угодно.
BTCWare-Gryphon Ransomware
This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare >> BTCWare-Gryphon 

К зашифрованным файлам добавляется составное расширение по шаблону
.[decr@cock.li].gryphon

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP.txt

Запиской с требованием выкупа также выступает скринлок, встающий обоями рабочего стола, с тем же текстом. [Нет картинки]

Содержание записки о выкупе:
=== GRYPHON RANSOMWARE ===
Your documents, photos, databases and other important files have been encryptedcryptographically strong, without the original key recovery is impossible!
To decrypt your files you need to buy the special software - "GRYPHON DECRYPTER"
Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk.
If you want to restore files, write us to the e-mail: decr@cock.li
In subject line write "encryption" and attach your ID in body of your messagealso attach to email 3 crypted files. (files have to be less than 2 MB)
It is in your interest to respond as soon as possible to ensure the restorationof your files, because we wont keep your decryption keys at our server more thanone week in interest of our security.
Only in case you do not receive a response from the first email addresswithit 48 hours, please use this alternative email adress: decrsup@cock.li
Your personal identification number:
Hj4zGkDR*****
=== GRYPHON RANSOMWARE ===

Перевод записки на русский язык:
=== GRYPHON RANSOMWARE ===
Ваши документы, фото, базы данных и другие важные файлы были криптографически сильно зашифрованы, без оригинального ключа восстановление невозможно!
Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - "GRYPHON DECRYPTER",
Использование других инструментов может привести к повреждению ваших файлов, в случае использования сторонних программ мы не даем гарантий, что полное восстановление возможно, поэтому используйте его на свой страх и риск.
Если вы хотите восстановить файлы, напишите нам на e-mail: decr@cock.li
В строке темы напишите "шифрование" и прикрепите свой ID в теле вашего сообщения, а также приложите к email 3 зашифрованных файла. (файлы должны быть меньше 2 МБ)
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов, потому что мы не будем хранить ваши ключи дешифрования на нашем сервере более недели в интересах нашей безопасности.
Только в том случае, если вы не получите ответ с первого email-адреса за 48 часов, используйте этот альтернативный email-адрес: decrsup@cock.li
Ваш личный идентификационный номер:
=== GRYPHON RANSOMWARE ===



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
 cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
 vssadmin.exe Delete Shadows /All /Quiet
 cmd.exe /c bcdedit.exe /set {default} recoveryenabled No
 bcdedit.exe /set {default} recoveryenabled No
 cmd.exe /c bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
 bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
HELP.txt

Расположения:
\%APPDATA%\<random>.exe
\%APPDATA%\HELP.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: decr@cock.li и decrsup@cock.li
payoff@cock.li и payoff@bigmir.net
chines34@protonmail.ch и oceannew_vb@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 августа 2017:

Расширение: .gryphon
Составное расширение: .[payoff@cock.li].gryphon
Email: payoff@cock.li и payoff@bigmir.net
Записка: HELP.txt
<< Скриншот записки




Обновление от 4 августа 2017:

Расширение: .gryphon
Составное расширение: [chines34@protonmail.ch].gryphon
Email: chines34@protonmail.ch и oceannew_vb@protonmail.com
Записка: !## DECRYPT FILES ##!.txt
<< Скриншот записки
Видеообзор >>




Обновление от 7 августа 2017:
Email: garryhelpyou@qq.com и garrymagic@tutanota.com
Тема на форуме >>
<< Скриншот записки





Обновление от 10 августа 2017:
Статья на BC >>
Расширение: .crypton
Составное расширение: .[gladius_rectus@aol.com   ].crypton
Записка: HELP.txt
Email: gladius_rectus@aol.com
gladius_rectus@india.com 
Результаты анализов: HA+VT
<< Скриншот записки

Обновление от 11 августа 2017:
Расширение: .crypton
Составное расширение: .[macgregor@aolonline.top ].crypton
Email: macgregor@aolonline.top
Результаты анализов: HA + VT
<< Скриншот записки




Обновление от 14 августа 2017:
Пост в Твиттере >>
Расширение: .gryphon
Составное расширение: .[universe1@protonmail.ch].gryphon
Записка: !## DECRYPT FILES ##!.txt
Email: universe1@protonmail.ch и universe11@bigmir.net
Результаты анализов: VT
<< Скриншот записки


Обновление от 14 августа 2017:

Расширение: .gryphon
!## DECRYPT FILES ##!.txt
Email: payfordecrypt@qq.com и crypthelp@qq.com
Составное расширение: .[payfordecrypt@qq.com].gryphon
Тема на форуме >>




Обновление от 15 августа 2017:
Пост в Твиттере >>
Расширение: .gryphon
Составное расширение: .[black.world@tuta.io].gryphon
Email: black.world@tuta.io
Результаты анализов: VT

Обновление от 15 августа 2017:

Расширение: .gryphon
Составное расширение: .[darkwaiderr@tutanota.com].gryphon
Записка: !## DECRYPT FILES ##!.txt
Email: darkwaiderr@tutanota.com и darkwaiderr@gmx.de





Обновление от 21 августа 2017:
Расширение: .crypton
Составное расширение: .[macgregor@aolonline.top ].crypton
Email: macgregor@aolonline.top
Записка: !## DECRYPT FILES ##!.txt
<< Скриншот записки и заш-файлов




Обновление от 26 августа 2017:
Расширение: .gryphon
Составное расширение: .[decrypt24@protonmail.com].gryphon
Email: decrypt24@protonmail.com
Результаты анализов: VT

Обновление от 26 августа 2017:
Пост в Твиттере >>
Расширение: .nuclear
Составное расширение: .[black.world@tuta.io].nuclear
Шаблон: .[<email>].nuclear
Email: black.world@tuta.io
Другой RSA-ключ. 
Записка: %APPDATA%\HELP.hta
<< Скриншот записки
Результаты анализов: HA+VT
См. мою статью BTCWare-Nuclear Ransomware >>

Обновление от 29 августа 2017:
Расширение: .nuclear
Составное расширение: .[asdqwer123@cock.li].nuclear
Шаблон: .[<email>].nuclear
Email: asdqwer123@cock.li

Обновление от 5 сентября 2017:
Расширение: .nuclear
Составное расширение: .[assistance@firemail.cc].nuclear
Email: assistance@firemail.cc
Результаты анализов: VT

Обновление от 11 сентября 2017: 
Расширение: .crypton
Составное расширение: .[macgregor@aolonline.top ].crypton
Email: macgregor@aolonline.top
Записка: !## DECRYPT FILES ##!.txt
Оплата:  0.5 BTC
Результаты анализов: VT
<< Скриншот записки и скриншот файлов (ниже)


Обновление от 25 сентября 2017: 
Расширение: .nuclear
Составное расширение: .[goldwave@india.com]-id-<id>.nuclear
Email: goldwave@india.com
Результаты анализов: VT

Обновление от 18 мая 2018:
Расширение: .gryphon
Составное расширение: .[black.world@tuta.io].gryphon
Email: blackworld@cock.li
Результаты анализов: VT

Обновление от 20 мая 2018:
Расширение: .gryphon
Составное расширение: .[fidel_romposo@aol.com].gryphon
Email: fidel_romposo@aol.com
Результаты анализов: VT



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BTCWare Gryphon)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Karsten Hahn, Michael Gillespie, GrujaRS
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

суббота, 29 июля 2017 г.

IsraBye

IsraBye Ransomware

(фейк-шифровальщик, деструктор)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем показывается вызывающее анти-израильское заявление. Оригинальное название. На файле написано:  israbye.exe. Разработчик: Ahmed. Среда разработки: Visual Studio 2012.

© Генеалогия: выясняется.

К фейк-зашифрованным файлам добавляется расширение .israbye 
На самом деле содержимое файлов перезаписывается анти-израильским сообщением, после чего вернуть файлы, видимо, невозможно. 

Активность этого крипто-вымогателя пришлась на конец июля - начало августа 2017 г. Ориентирован на англоязычных и арабоязычных пользователей, что не мешает распространять его по всему миру. Разработчик ненавидит Израиль и проклинает его в своем послании. 

Запиской с требованием выкупа выступает эпатажный экран блокировки и скринлок, встающий обоями рабочего стола. К курсору прикрепляется курсор-надпись END or ISRAEL.

 



Содержание текста с экрана:
What Happened to My Computer ?
All Your files and data are Fucked For Ever ! 
Can i Recover My Files ?
Sure you can recover your files and guarantee that For Free..! 
When will i recover your files ?
you will recover your files when we recover Palestine, When we recover Al AQSA, When we Recover Our Victims, Our Souls, Our Freedom.
***

Перевод текста на русский язык:
Что случилось с моим компьютером?
Все ваши файлы и данные гребаны навсегда!
Могу ли я вернуть мои файлы?
Конечно, вы можете вернуть свои файлы и гарантированно бесплатно ..!
Когда я смогу вернуть ваши файлы?
Вы вернёте свои файлы, когда мы вернём Палестину, когда мы вернём Эль-Аксу, когда мы вернём наши жертвы, наши души, нашу свободу.
***




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются, а только перезаписываются. 
Это могут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Данный вредонос модульного типа, т.е. состоит из пяти разных исполняемых файлов. При запуске IsraBye.exe начинает уничтожать файлы на всех подключенных дисках, заменив их содержимое на текстовое сообщение.

Деструктивное сообщение: 
Fuck-israel, [username] You Will never Recover your Files Until Israel disepeare. 
Перевод на русский язык:
*** [username] Вы никогда не вернёте свои файлы, пока Израиль не исчезнет. 

Когда Israbye завершит зачистку данных на всех дисках, он извлечёт 4 файла Cry.exe, Cur.exe, Lock.exe и Index.exe из исполняемого файла IsraBye.exe и запустит их. Каждый из этих файлов выполняет другую функцию, описанную ниже.


Cry.exe сменит обои на рабочем столе на файл wallper.jpg с анти-израильским и пропалестинским сообщением. 


Cur.exe прикрепит к курсору изображение-надпись "END or ISRAEL", которое будет следовать за курсором мыши.  


Lock.exe выполняет три функции. Сначала он ищет процессы procexp64, ProcessHacker, taskmgr, procexp, xns5 и завершает их. Затем он запускает Index.exe, а копирует основной файл Israbye.exe в корень других дисков как файл с именем ClickMe.exe, чтобы распространять вредоносное ПО. 


Index.exe отображает экран блокировки, извлекает звуковой файл source.wav и воспроизводит его. 

При работе вредоноса повреждаются только файлы на рабочем столе и в папке "Загрузки". Файлы в папке "Program Files" остаются нетронутыми. 

Специалисты обнаружили, если создать ложный файл ClickMe.exe в папке %Temp%, то IsraBye падает при первом запуске.

Файлы, связанные с этим Ransomware:
israbye.exe
cry.exe
cur.exe
lock.exe
index.exe
wallper.jpg
wallper.exe
ClickMe.exe
source.wav

Расположения:
%APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\index.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\lock.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\cry.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\cur.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\wallper.exe

IsraBye.exe извлекает cry.exe, cur.exe, lock.exe, index.exe
cry.exe создаёт %TEMP%\wallper.jpg
cry.exe создаёт %TEMP%\wallper.exe
lock.exe создаёт %TEMP%\ClickMe.exe
index.exe создаёт %TEMP%\source.wav

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 8 января 2019:
Пост в Твиттере >>
Пост в Твиттере >>

Файл EXE: israbye.exe (версия 2019 года). 

Результаты анализов: VT






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (Israbye)
 Write-up, Topic of Support
 Video review
 Thanks: 
 JakubKroustek, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov, Ari Eitan
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *