Если вы не видите здесь изображений, то используйте VPN.

четверг, 28 сентября 2017 г.

CypherPy

CypherPy Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES (режим CBC), а затем сообщает, чтобы вернуть файлы не удастся, потому что Cypher ещё находится в разработке. Оригинальное название: Cypher Ransomware. На файле написано: cyphermain.py. Написан на Python. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CypherPy

К зашифрованным файлам добавляется расширение .crypt

Активность этого крипто-вымогателя пришлась на вторую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Работает в Linux и Windows

Записка с требованием выкупа называется: README

Содержание записки о выкупе:
Cypher
Hello, unfortunately all your personal files have been encrypted with millitary grade encryption and will be impossible to retrieve without aquiring the encryption key and decrypting binary.
As of yet these are not available to you since the Cypher ransomware is still under construction.
We thank: you for your patience.
Have a nice day,
The Cypher Project.

Перевод записки на русский язык:
Cypher
Привет, к сожалению, все ваши личные файлы были зашифрованы с помощью шифрования военного класса, и их невозможно получить без приобретения ключа шифрования и двоичного кода дешифрования.
На данный момент они недоступны для вас, так как Cypher Ransomware ещё находится в разработке.
Благодарим за ваше терпение.
Хорошего дня,
Проект Cypher.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3g2, .3gp, .7z, .asf, .asx, .avi, .bak, .bundle, .c, .cpp, .deb, .docx, .exe, .flv, .gif, .h, .html, .jar, .jpeg, .jpg, .log, .m2ts, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .pdf, .php, .png, .py, .pyc, .rar, .rm, .sh, .sq1, .sqlite3, .swf, .tar, .tar.gz, .tiff, .txt, .vob, .wmv, .zip (46 расширений).
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
cyphermain.py
README

Пароль разблокировки: 
prettyflypassword

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Предыстория от 24 августа 2017:

Расширение: .enc
Записка: readme_decrypt.txt
Сумма выкупа: 1 BTC
<< Скриншот записки



*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 MalwareHunterTeam
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 26 сентября 2017 г.

BlackMist

BlackMist Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: BlackMist. На файле написано: BlackMist.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение blackmist
Обратите внимание, что "точки" у этого расширения нет. 

Активность этого крипто-вымогателя пришлась на вторую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Видимо пока находится в разработке, т.к. шифруются только файлы в специальной папке и есть сбои в работе. 

Запиской с требованием выкупа выступает экран блокировки, если его так можно назвать. 

Содержание записки о выкупе:
The Black Mist has consumed your computer, and all files contained within it. Each file has been encrypted.
To restore your computer, you must moke a Payment of 100$ Bitcoin to the address specified. You will have 48 Hours to do so. After 24 hours, each following hour will execute the deletion of a portion of your files. After
the full 48 hours, all files will have been deleted, along with your operating system.
Attemping to close this application or shutdown you computer will result in full deletion of your files.

Перевод записки на русский язык:
Black Mist употребил ваш компьютер и все файлы, содержащиеся в нем. Каждый файл был зашифрован.
Чтобы восстановить компьютер, вы должны сделать оплату 100$ в биткоинах по указанному адресу. У вас будет 48 часов для этого. Через 24 часа каждый час будут удаляться некоторые ваши файлы. После 48 часов все файлы будут удалены вместе с вашей операционной системой.
Попытки закрыть это приложение или выключить компьютер приведут к полному удалению ваших файлов.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BlackMist.exe

Расположения:
C:\Users\Owner\ - шифруются только файлы в этой тестовой папке. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 25 сентября 2017 г.

Onion3Cry

Onion3Cry Ransomware
Onion3Crypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп за декриптер, чтобы вернуть файлы. Оригинальное название точно не указано. В заголовке экрана блокировки написано: onion3 crypt v.3.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Onion3Cry

К зашифрованным файлам добавляется расширение .onion3cry-open-DECRYPTMYFILES

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED
Our credibility at stake
To decrypt your files you need to buy the special software - «Black decryptor»
You can find out the details / buy decryptor + key / ask questions by email: onion33544@india.com
How to use bitcoin xxxxs://www.youtube.com/watch?v=Xz3UaCk577l
Unable to decode data without correct decoder ID - 388854
To recover yor data.
[contact in up
12:00:00]

Перевод записки на русский язык:
ВСЕ ВАША РАБОТА И ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Ставка на наше доверие
Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - «Black decryptor»
Вы можете узнать подробности / купить дешифратор + ключ / задавать вопросы по email: onion33544@india.com
Как использовать биткоин xxxxs://www.youtube.com/watch?v=Xz3UaCk577l
Невозможно декодировать данные без правильного ID декодера - 388854
Чтобы восстановить ваши данные.
[контакт в
12:00:00]
Ещё один экран имитируют загрузку обновлений. На португальском. 

Содержание текста на экране:
Obtendo atualizações
isso pode levar alguns minutos
Verificando se há atualizações.......
[Avançar]

Перевод на русский:
Получение обновлений
Это может занять несколько минут.
Проверка обновлений ...
[Далее]




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
<Black decryptor>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
onion33544@india.com
xxxxs://www.youtube.com/watch?v=Xz3UaCk577l
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ (original package) >>
VirusTotal анализ (encrypter) >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 24 сентября 2017 г.

CryptoClone

CryptoClone Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: cryptoclone. На файле написано: cryptoclone.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stupid >> CryptoClone

К зашифрованным файлам добавляется расширение .crypted

Образец этого крипто-вымогателя обнаружен на второй половине сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Использует графические изображения из ранее известных крипто-вымогателей. 

Запиской с требованием выкупа выступает экран блокировки:


Содержание текста о выкупе:
!Your Personal Files Are Encrypted
Private key will be destroyed on 10/13/2013 1:21 PM
Time left
71: 33 : 17
loading files and calling server
AES_256 bit encryption
ing this will result in loss files

Перевод текста на русский язык:
Ваши личные файлы зашифрованы
Закрытый ключ уничтожится 13.10.2013 13:21
Осталось времени
71: 33: 17
загрузка файлов и вызов сервера
Шифрование AES-256 бит
это приведет к потере файлов

Это выглядит знакомо, видимо и здесь использовался тот же "корявый" крипто-строитель. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
cryptoclone.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 февраля 2018:
Пост в Твиттере >>
Файл: cryptoclone.exe
Основано на Stupid Ransomware.
Результаты анализов: VT
<< Новый скриншот 









=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 23 сентября 2017 г.

RedBoot

RedBoot Ransomware

(шифровальщик-вымогатель, MBR-модификатор)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует связаться оп email, чтобы уплатить выкуп за разблокировку компьютера. Оригинальное название: RedBoot. На файле может быть написано, что угодно. Написан на AutoIT. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на вторую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

После запуска UAC не обходит, требует разрешение этой защиты. Если UAC отключена, то шифрует файлы и перезагружает систему. После чего модифицирует MBR и таблицу разделов, потом выводит перед жертвой следующее сообщение на красном фоне:

Содержание текста с экрана:
This computer and all of it's files have been locked! Send an email to redboot@memeware.net containing your ID key for instructions on how to unlock them. Your ID key is D12066304A455351F1C9C703432319BEA7061624_

Перевод на русский язык:
Этот компьютер и все его файлы блокированы! Отправьте email на адрес redboot@memeware.net, включив ваш ID ключ, для инструкций по разблокировке. Ваш ID ключ D12066304A455351F1C9C703432319BEA7061624_



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После выполнения RedBoot извлекает 5 других файлов в случайную папку в каталоге, из которого был запущен: boot.asm, assembler.exe, main.exe, overwrite.exe и protect.exe. Файл boot.asm, кроме того, будет компилирован в boot.bin. После завершения компиляции файла boot.bin файлы boot.asm и assembly.exe удаляются.

Подробнее о каждом из этих файлов: 
assembler.exe - разноимённая копия nasm.exe, которая используется для компиляции файла сборки boot.asm в файл boot.bin главной загрузочной записи (MBR). 
boot.asm - файл сборки, который будет скомпилирован в новую главную загрузочную запись.
boot.bin - файл новой главной загрузочной записи, полученный в результате компиляции boot.asm
overwrite.exe - программа, которая используется для перезаписи существующей главной загрузочной записи в новую.
main.exe - это шифратор для пользовательского режима, который шифрует файлы на компьютере.
protect.exe - исполняемый файл, завершающий работу и предотвращающий запуск различных программ, включая диспетчер задач и processhacker.

Изменив таблицу разделов RedBoot не сможет её восстановить даже после уплаты выкупа, потому жёсткий диск вымогателями не будет восстановлен. 

Внимание! В большинстве возможных случаев MBR и таблицу разделов можно восстановить специализированными программами для восстановления, в том числе и бесплатными. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
extract: boot.asm, assembler.exe, main.exe, overwrite.exe, protect.exe
boot.asm > boot.bin

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: redboot@memeware.net
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ (main.exe) >>
VirusTotal анализ (nasm.exe) >>
VirusTotal анализ (overwrite.exe) >>
VirusTotal анализ (protect.exe) >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RedBoot)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 22 сентября 2017 г.

BTCWare-Wyvern

BTCWare-Wyvern Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле может быть написано, что угодно.
This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare >> BTCWare-Wyvern

К зашифрованным файлам добавляется составное расширение по шаблону .[email]-id-<id>.wyvern

Примеры зашифрованных файлов: 
file1.jpg.[decryptorx@cock.li]-id-89085061.wyvern
file2.doc.[decryptorx@cock.li]-id-89085061.wyvern
file3.png.[decryptorx@cock.li]-id-89085061.wyvern


Примеры зашифрованных файлов

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP.hta
Скриншоты записки о выкупе

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail decryptorx@cock.li
You have to pay for decryption in Bitcons. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total see of files must be less than 1Mb (non archved), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
How to obtain Bitcolns
The easiest way to buy bitcoins is localBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
xxxxs://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners gude here:
xxxx://coindesk.com/information/how-can+buy-bitcoins/
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на e-mail decryptorx@cock.li
Вы должны заплатить за дешифрование в битконах. Цена зависит от того, как быстро вы пишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования. Общее количество файлов должно быть меньше 1 Мб (не архив), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить Bitcoins
Самый простой способ купить биткойны - сайт localBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
xxxxs://localbitcoins.com/buy_bitcoins
Также можно найти другие места для покупки биткойнов и руководство для новичков:
xxxx://coindesk.com/information/how-can+buy-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, , а затем перезагружает компьютер, используя команды:
cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /c bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
shutdown.exe -r -t 0

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP.hta
<random>.exe
много дроппированных файлов

Расположения:
\%APPDATA%\HELP.hta
\%APPDATA%\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
decryptorx@cock.li
fuck4u@cock.li
См. ниже результаты анализов.


Связанный открытый ключ Wyvern RSA:
Открыть:
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCitOoG+zT+UHs8xu7rCRSzj1XFlhatpoG4/dqLm45JWUMo1Usokd2KAOvZQQWIi6AtAqe2XwG3zsu3Mt97LzU/9t5lf30RuNP3y422gX6XvBATeDSyZObsjcx0TeV+r4WR563EsQp19YMAbr9hOfjwJwfzhZJ4ODbRcHBQyWab+wIDAQAB
-----END PUBLIC KEY-----

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 27 сентября 2017:
Расширение: .[fuck4u@cock.li]-id-<id>.wyvern
Email: fuck4u@cock.li
Результаты анализов: VT


Обновление от 27 октября 2017:
Email: irmagetstein@india.com
Пример: .[irmagetstein@india.com]-id-3540E23D.wyvern
Содержание записки:
your data have been encrypted 
if you want restore files 
write me  irmagetstein@india.com





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile
Можно также обратиться по этой ссылке >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under BTCWare Gryphon)
 Write-up, Topic of Support
 * 
 Thanks: 
  Lawrence Abrams
  Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

CyberSoldier

CyberSoldier Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CyberSoldier и Ransomware. На файле написано: Ransomware.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам должно добавляться расширение .CyberSoldiersST
Но пока файлы не шифруются, а только переименовываются. 

Активность этого крипто-вымогателя пришлась на вторую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Видимо пока находится в разработке, т.к. файлы не шифруются из-за сбоев в работе. 

Запиской с требованием выкупа выступает изображение на экране:

Содержание записки о выкупе:
Your files have been EnCrypted!
35994 Seconds
[Decrypt]

Перевод записки на русский язык:
Ваши файлы зашифрованы!
35994 секунд
[Дешифровать]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *