пятница, 25 августа 2017 г.

Ransomnix

Ransomnix Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 -1 BTC, чтобы вернуть файлы. Оригинальное название: Ransomnix
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key Removal Report Virus Removal Guide Как избавиться от Ransomware ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Crypt 


Ransomnix Ransomware
Изображение принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на июнь-август 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: [нет данных]
Запиской с требованием выкупа выступает экран блокировки: [нет данных]

Требования написаны на сайте вымогателей. Скриншот, состоящий из трёх снимков, прилагается. 


Содержание записки о выкупе:
Ransomnix
Now Pay 1 BTC
OR
Payment will increase by 
0.5 BTC each day after
00:00:00
Your Key Will Be Deleted
Your Bill till now 38.5 BTC
Dear manager, on
Wed Jun 14 2017 05:42:03 GMT+0100 ***))
your database server has been locked, your databases files are encrypted and you have unfortunately "lost" all your data, Encryption was produced using unique public key RSA-2048 generated for this server. 
To decrypt files you need to obtain the private key. 
All encrypted files ends with .Crypt 
Your reference number: 9357 
To obtain the program for this server, which will decrypt all files, you need to pay 1 bitcoin on our bitcoin address 
1pYUK7efvf3PYALJ1dGFq4FZU6FrdQ5E8 (today 1 bitcoin was 2860 $). 
Only we and you know about this bitcoin address. 
You can check bitcoin balance here - 1pYUK7efvf3PYALJ1dGFq4FZU6FrdQ5E8 
After payment send us your number on our mail add1ct@yahoo.com and we will send you decryption tool (you need only run it and all files will be decrypted during 1...3 $ Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your guarantee that we have decryption tool. And send us your number w$ 
We don't know who are you, All what we need is some money. 
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again. 
You can use one of that bitcoin exchangers for transfering bitcoin. 
https://localbitcoins.com
https://www.kraken.com 
You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country. 
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language. 
You don't have enough time to think each day payment will increase by 0.5 BTC and after one week your privite key will be deleted and your files will be locked for ever.
Ransomnix

Перевод записки на русский язык:
Ransomnix
Сейчас платите 1 BTC
ИЛИ
Оплата будет увеличена на
0,5 BTC каждый день после
00:00:00
Ваш ключ будет удален
Ваш биль до сих пор 38.5 BTC
Уважаемый менеджер,
Ср Июн 14 2017 05:42:03 GMT + 0100 ***))
Вашего сервера базы данных заблокированы, ваши файлы баз данных зашифрованы, и вы, к сожалению, "потеряли" все свои данные, шифрование сделано с использованием уникального открытого ключа RSA-2048, созданного для этого сервера.
Чтобы дешифровать файлы, вам необходимо получить закрытый ключ.
Все зашифрованные файлы заканчиваются на .Crypt
Ваш ссылочный номер: 9357
Чтобы получить программу для этого сервера, которая расшифрует все файлы, вам нужно заплатить 1 биткоин на наш биткоин-адрес
1pYUK7efvf3PYALJ1dGFq4FZU6FrdQ5E8 (сегодня 1 биткоин был 2860 $).
Только мы и вы знаете об этом биткоин-адресе.
Вы можете проверить баланс биткоинов здесь - 1pYUK7efvf3PYALJ1dGFq4FZU6FrdQ5E8
После оплаты отправьте нам свой номер на нашу почту add1ct@yahoo.com, и мы вышлем вам инструмент дешифрования (вам нужно только запустить его, и все файлы будут дешифрованы в течение 1 ... 3 $. Перед оплатой вы можете отправить нам один небольшой файл (100..500 килобайт), и мы расшифруем его - это ваша гарантия, что у нас есть инструмент дешифрования. И отправьте нам свой номер w$
Мы не знаем, кто ты. Все, что нам нужно, это деньги.
Не паникуйте, если мы не ответим вам в течение 24 часов. Это означает, что мы не получили ваше письмо и не напишем нам еще раз.
Вы можете использовать один из этих биткоин-обменников для переноса биткоина.
xxxxs://localbitcoins.com
xxxxs://www.kraken.com
Вам не нужно устанавливать программы биткоинов - вам нужно использовать только один из этих обменников или другой обменник, который вы можете найти на www.google.com для своей страны.
Пожалуйста, используйте английский язык в своих письмах. Если вы не говорите по-английски, воспользуйтесь https://translate.google.com, чтобы перевести свое письмо на английский язык.
У вас недостаточно времени, чтобы думать, т.к. каждый день платеж будет увеличиваться на 0.5 BTC, и через неделю ваш приватный ключ будет удален, и ваши файлы будут заблокированы навсегда.
Ransomnix


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, текстовые файлы, базы данных, веб-данные, фотографии и пр.

Файлы, связанные с этим Ransomware:
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.


Снимок с оригинального сайта из веб-архива

Сетевые подключения и связи:
xxxx://themerchantadventurer.com - взломанный сайт
xxxx://themerchantadventurer.com/model-policy - взломанный сайт
https://web.archive.org/web/20161017012107/http://themerchantadventurer.com/ - оригинальный сайт в веб-архиве
Email: add1ct@yahoo.com
BTC: 1pYUK7efvf3PYALJ1dGFq4FZU6FrdQ5E8 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 6 апреля 2018:
Самоназвание этого варианта: JIGSAW RANSOMNIX 2018
Они добавили громкое название и картинку от JIGSAW, чтобы напугать пострадавших.
Расширение: .Crypt
Email: crypter@cyberservices.com 
BTC: 1VirusnmipsYSA5jMv8NKstL8FkVjNB9o
Сумма выкупа: 0.2 BTC + увеличение на 0.1 BTC каждый день
Содержание текста со скриншота:
JIGSAW RANSOMNIX 2018
I WANT TO PLAY A GAME!
Now Pay 0.2 BTC
OR
Payment will increase by
0.1 BTC each day after
00:00:00
Your Key Will Be Deleted
Your Bill till now 2.4000000000000004 BTC
Dear manager, on
Fri Apr 06 2018 02:08:34 GMT+0100 (GMT Summer Time)
your database server has been locked, your databases files are encrypted
and you have unfortunately "lost" all your data, Encryption was produced using
unique public key RSA-2048 generated for this server.
To decrypt files you need to obtain the private key.
All encrypted files ends with .Crypt
Your reference number: 4027
To obtain the program for this server, which will decrypt all files,
you need to pay 0.2 bitcoin on our bitcoin address 1VirusnmipsYSA5jMv8NKstL8FkVjNB9o (today 1 bitcoin was around 15000 $).
After payment send us your number on our mail crypter@cyberservices.com and we will send you decryption tool (you need only run it and all files will be decrypted during a few hours depending on your content size).
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it!
It's your guarantee that we have decryption tool. (use your reference number as a subject to your message)
We don't know who are you, All what we need is some money.
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again.
You can use one of that bitcoin exchangers for transfering bitcoin.
https://localbitcoins.com
https://www.kraken.com
You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country.
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.
You do not have enough time to think each day payment will increase by
0.1 BTC and after one week your privite key will be deleted and your files will be locked for ever.
People use cryptocurrency for bad choices,
 but today you will have to use it to pay for your files!
 It's your choice!
-
Ошибка в тексте записки - 15000 $ - относится к 2017 году.



Обновление от 17 октября 2018:
Ransomnix-Charm
Пост в Твиттере >>
Расширение: .charm 
Записка: HOW_TO_RETURN_FILES.txt
Email: fmhir@protonmail.com
➤ Содержание записки: 
Dear manager,
your database server has been locked, your databases files are encrypted and you have unfortunately "lost" all your data, Encryption was produced using unique key AES-256 generated for this server.
To decrypt files you need to obtain the decryption key and tool.
All encrypted files ends with .charm
To obtain the program for this server, which will decrypt all files, you need to write me to email: "fmhir@protonmail.com"
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your guarantee that we have decryption tool. And send us your userkey
We don't know who are you, All what we need is some money.
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again.
You can use one of that bitcoin exchangers for transfering bitcoin:
https://localbitcoins.com
https://www.kraken.com
You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country.
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.
You don't have enough time to think each day payment will increase and after one week your key will be deleted and your files will be locked forever.
USERKEY:[redacted 0x100 bytes in base64]




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Amigo-A (Andrew Ivanov)
 Bart
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton