понедельник, 11 сентября 2017 г.

Paradise

Paradise Ransomware

Paradise unencrypted: .PRT, .sell, .ransom, .logger, .securityP,  .for, .b1

Paradise decrypted: .b29, .VACv2, .CORP, .STUB, .paradise, .2ksys19, .p3rf0rm4, .Recognizer, .immortal, .exploit, .prt, .FC, .bitcore, .sev, .sambo 

Paradise .NET: .drakosha, .junior, .safe, .kiss, .worm, .rdp  

Paradise 2020: .payload, .ebal, .njkwe, .777

(шифровальщик-вымогатель, RaaS) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Paradise Ransomware. Может продаваться как RaaS ("вымогатель как услуга" - Ransomware-as-a-Service). Источник распространения: Украина. Команда вымогателей: Paradise Ransomware Team. 

Обнаружения:
DrWeb -> Trojan.Encoder.14933, Trojan.Encoder.15001, Trojan.Encoder.25080, Trojan.Encoder.25726, Trojan.Encoder.26375, Trojan.Encoder.26770, Trojan.Encoder.27435, Trojan.Encoder.30600
BitDefender -> Gen:Variant.Ursu.411887, Gen:Heur.Ransom.RTH.1, Generic.Ransom.Paradise.8A352C3B, Generic.Ransom.Paradise.*, Trojan.GenericKDZ.61414, Trojan.GenericKD.32956176
Symantec -> ML.Attribute.HighConfidence
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Paradise.B
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Microsoft -> Ransom:MSIL/Cryptid
Rising -> Ransom.Crypren!8.1D6C (CLOUD)
Tencent -> Win32.Trojan.Raas.Auto
VBA32 -> Trojan-Ransom.Crypren

© Генеалогия: предыдущий Ransomware + ✂ Dharma > Paradise, Paradise RaaS Paradise .NET, Paradise 2020 и другие варианты

🌌 Согласно основам Генеалогии Ransomware, значок "ножницы" здесь означает любое заимствование — в данном случае мы видим похожую форму для зашифрованных файлов, позже появилась похожая записка, что-то ещё. Скорее всего, это используется для того, чтобы запутать детект, анализ и запугать пострадавших. 

Изображение — логотип статьи

К зашифрованным файлам добавляется составное расширение .paradise по шаблону id-[affiliate_id].[affiliate_email].paradise

Примеры зашифрованных файлов: 
my-picture.pngid-3VwVCmhU.[info@decrypt.ws].paradise
my-photo.jpgid-3VwVCmhU.[info@decrypt.ws].paradise
my-document.docid-3VwVCmhU.[info@decrypt.ws].paradise

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Записка с требованием выкупа называется: #DECRYPT MY FILES#.txt
Информатором жертвы выступает также изображение, встающее на обои рабочего стола с кратким текстом (файл desk.bmp).
Paradise RansomwareParadise Ransomware

Содержание записки о выкупе:
[WHAT HAPPENED]
Your important files produced on this computer have been encrypted due a security problem
If you want to restore them, write us to the e-mail: info@decrypt.ws
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
[FREE DECRYPTION AS GUARANTEE]
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 1Mb
[HOW TO OBTAIN BITCOINS]
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller by payment method and price
https://localbitcoins.com/buy_bitcoins
[ATTENTION]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files

Перевод записки на русский язык:
[ЧТО СЛУЧИЛОСЬ]
Ваши важные файлы, созданные на этом компьютере, были зашифрованы из-за проблем безопасности
Если вы хотите их восстановить, напишите нам на e-mail: info@decrypt.ws
Вы должны заплатить за дешифрование в биткойнах. Цена зависит от того, как быстро вы напишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
[БЕСПЛАТНАЯ ДЕШИФРОВКА КАК ГАРАНТИЯ]
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования.
Обратите внимание, что файлы НЕ должны содержать ценную информацию, и их общий размер должен быть меньше 1 Мб
[КАК ПОЛУЧИТЬ БИТКОЙНЫ]
Самый простой способ купить биткойн - сайт LocalBitcoins.
Вам необходимо зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца по способу оплаты и цене
https://localbitcoins.com/buy_bitcoins
[ВНИМАНИЕ]
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных
Если вы не пишете по email 36 часов - ваш ключ будет удален, и вы не сможете расшифровать свои файлы



Еще один информатор жертвы — HTML-записка в обновлённой версии




Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет системную теневую копию (VSS: Volume Shadow Copy), но теневые копии файлов не удаляются, поэтому файлы можно будет восстановить из точки восстановления системы. Возможно, что позже это изменится. 

➤ Прописывает в автозагрузке Windows исполняемый файл DP_Main.exe

➤ Удаляет теневые копии файлов командой:
delete shadows /all /quiet

➤ Использует сайт iplogger.org

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#DECRYPT MY FILES#.txt
DP_Main.exe
VID495097072.exe
DecriptionInfo.auth - файл, который нужно отсылать вымогателям
desk.bmp
Failed.txt
Files.txt
id.dp

Расположения:
%UserProfile%\Desktop\DecriptionInfo.auth
%UserProfile%\AppData\Local\Temp\desk.bmp
%UserProfile%\Failed.txt
%UserProfile%\Files.txt

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\{ransom filename}_RASAPI32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\{ransom filename}_ RASMANCS
HKEY_CURRENT_USER\Control Panel\Desktop WallpaperStyle = "2"
HKEY_CURRENT_USER\Control Panel\Desktop Tile = "0"
HKEY_CURRENT_USER\Control Panel\Desktop Wallpaper = "%User Temp%\desk.bmp"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DP_Main
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://178.208.77.47/api/Encrypted.php
xxxx://decrypt.ws
Email: info@decrypt.ws
tankpolice@aolonline.top
edinstveniy_decoder@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на DP_Main.exe >>  Ещё >>
IntezerAnalyze >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3-10 января 2018:
Пост в Твиттере >>
Расширение: .paradise
Шаблон: [id-<id>].[<email>].paradise
Email: paradise@all-ransomware.info
Записка: #DECRYPT MY FILES#.html
Файл: DP_Main.exe
Результаты анализов: VT
<< Скриншот записки

Обновление от 13 января 2018:
Пост в Твиттере >>
Расширение: .PRT
Составное расширение: [id-XXXXXXXX].[paradise@all-ransomware.info].PRT
Пример зашифрованного файла: File.doc[id-qKCXbrQ9].[paradise@all-ransomware.info].PRT
Email: paradise@all-ransomware.info
Записка: #DECRYPT MY FILES#.html
Файл: DP_Main.exe
Результаты анализов: VT + VMR 
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.25080
BitDefender -> Generic.Ransom.Paradise.8A352C3B
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Paradise.B
McAfee -> Ransomware-GJJ!88BFD110A417
Rising -> Ransom.Crypren!8.1D6C (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto

Обновление от 16 января 2018:
Топик на форуме >>
Записка: KEY BACKUP.txt
Email: uqmv@protonmail.com
Файлы: DP_Main.exe и другие. 
<< Скриншот записки
Краткое содержание:
Hi!
I crypted all your important data 
Your documents, photos, databases, programs and other important data was encrypted. 
The only way to recover your files - contact us via "uqmv@protonmail.com"
I stored the crypted data in your hard disk.
If you want to become your data back, send me an email containing your ip address.
Your ip address: 100.100.100.100
---
Использует mimikatz для извлечения и кражи паролей. 

Обновление от 13 марта 2018:
Пост в Твиттере >>
Расширение: .sell
Шаблон составного расширения: [id-<ID{8_chars}>].[support@all-ransomware.info].sell
Email: support@all-ransomware.info
Шаблон записки: #DECRYPT MY FILES#_<ID{8_chars}>.html
Пример записки: #DECRYPT MY FILES#_uqxptvsx.html




Обновление от 14 марта 2018:
Пост в Твиттере >>
Расширения: .ransom и .logger
Составное расширение-1 (шаблон): [id-<ID{8_chars}>].[<email>].ransom
Составное расширение-2 (шаблон): [id-<ID{8_chars}>].[<email>].logger
Email: paradise@all-ransomware.info
Примеры зашифрованных файлов: 
Document001.docx[id-cQZXBG0n].[paradise@all-ransomware.info].ransom
Document002.docx[id-cQZXBG0n].[paradise@all-ransomware.info].logger
Шаблон записки: #DECRYPT MY FILES# <ID>.html
Пример записки: #DECRYPT MY FILES# cQZXBG0n.html

Обновление от 9 июня 2018:
Пост в Твиттере >>
Расширение: _V.0.0.0.1{paradise@all-ransomware.info}.prt
Email: paradise@all-ransomware.info
Записка: PARADISE_README_paradise@all-ransomware.info.txt
Содержание: 
To decrypt your files, please contact us by mail -- paradise@all-ransomware.info and paradise@all-ransomware.info
Your user id: ***
with respect Ransomware Paradise Team

Обновление от 29 июня 2018: 
Расширение: {help@badfail.info}.paradise
Email: help@badfail.info
Текстовые файлы: ID_CLIENT_help@badfail.info.txt, PARADISE_README_help@badfail.info.txt
Содержание файла ID_CLIENT_help@badfail.info.txt:
BGlkNNtGxLZDQJKImJF2TQ
Содержание файла paradise_key.bin:
BwIAAACk***935wW  (1573 знака)
Файлы: badfail.exe
Файлы ключей: paradise_key.bin, paradise_key_pub.bin
URL: xxxx://146.185.241.35/api/Encrypted.php
Результаты анализов: VT + AR
Скриншот записки с ID и ключом >>


Обновление от 3 августа 2018:
Пост в Твиттере >>
Статус: Файлы можно дешифровать! Только этот вариант. Он вообще не шифрует файлы, а только делает вид, то шифрует. 
Расширение: .b29
Составное расширение (вначале нет точки): [id-<id>].[yourencrypter@protonmail.ch].b29
Пример заш-файла: file_name.doc[id-***].[yourencrypter@protonmail.ch].b29
Email: yourencrypter@protonmail.ch
Записка: #DECRYPT MY FILES#***.html
URL: xxxx://46.161.42.115/api/Encrypted.php***
Добавление в зашифрованные файлы:
Результаты анализов: VT


Обновление от 24 декабря 2018:
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Пост в Твиттере от 29 декабря 2018 >>
Самоназвание: Paradise VACv2
Расширение: .VACv2
Формат зашифрованного файла: _<random>_{<email>}.VACv2
Записка: $%%! NOTE ABOUT FILES -=!-.html
Email: pittt@prt-decrypt.xyz
Результаты анализов: VT
 Содержание записки: 
🔒 Your files are encrypted!
♛ Paradise Ransomware Team!
Your personal ID
[redacted 16 alphanum]
WHAT HAPPENED!
•Your important files produced on this computer have been encrypted due a security problem.
•If you want to restore them, write to us by email.
•You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
•After payment we will send you the decryption tool that will decrypt all your files.
☑ FREE DECRYPTION AS GUARANTEE!
•Before payment you can send us 1-3 files for free decryption.
•Please note that files must NOT contain valuable information.
•The file size should not exceed 1MB.
•As evidence, we can decrypt one file
☑ HOW TO OBTAIN BITCOINS!
•The easiest way to buy bitcoin is LocalBitcoins site.
•You have to register, click Buy bitcoins and select the seller by payment method and price
•https://localbitcoins.net/buy_bitcoins/
•write to Google how to buy Bitcoin in your country?
✉ Contact!
•e-mail: 
•or
•e-mail: 
☒ Attention!
•Do not rename encrypted files
•Do not try to decrypt your data using third party software, it may cause permanent data loss
•You are guaranteed to get the decryptor after payment
•As evidence, we can decrypt one file
•Do not attempt to use the antivirus or uninstall the program
•This will lead to your data loss and unrecoverable
•Decoders of other users is not suitable to decrypt your files - encryption key is unique


Обновление от 30 декабря 2018:
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Пост в Твиттере от 4 января 2019 >>
Самоназвание: Paradise VACv2
Расширение: .CORP
➤ Составное расширение: <original_filename>_%ID%_{backtonormal@foxmail.com}.CORP
Пример заш-файла: reports.xml_0Fs4mT6TdvKc5cFj_{backtonormal@foxmail.com}.CORP
Email: backtonormal@foxmail.com
 Составное расширение: <original_filename>_%ID%_{alexbanan@tuta.io}.CORP
Email: alexbanan@tuta.io
 Составное расширение: <original_filename>_5fuHzax9c4RYmB64_{admin@prt-decrypt.xyz}.CORP
Email: admin@prt-decrypt.xyz
Записка: $%%! NOTE ABOUT FILES -=!-.html
 Содержание записки: 
Your files are encrypted!
Paradise Ransomware Team!
Your personal ID
*****
---
WHAT HAPPENED!
• Your important files produced on this computer have been encrypted due a security problem.
• If you want to restore them, write to us by email.
• You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
• After payment we will send you the decryption tool that wi decrypt all your files.
---
FREE DECRYPTION AS GUARANTEE!
• Before payment you can send us 1-3 files for free decryption.
• Please note that files must NOT contain valuable information.
• The file see should not exceed 1MB.
• As evidence, we can decrypt one file
---
HOW TO OBTAIN BITCOINS!
• The easiest way to buy btcon is LocalBitcoins ste.
• You have to register, dck Buy bitcoins and select the seller by payment method and price
• https://localbitcoins.net/buy_bitcoins/
• write to Google how to buy Bitcoin in your country?
---
Contact!
• e-mail: alexbanan@tuta.io
• or
• e-mail: alexbanan@tuta.io
---
Attention!
• Do not rename encrypted files
• Do not try to decrypt your data using third party software, it may cause permanent data loss
• You are guaranteed to get the decryptor after payment
• As evidence, we can decrypt one file
• Do not attempt to use the antivirus or uninstall the program
• This will lead to your data loss and unrecoverable
• Decoders of other users s not suitable to decrypt your files - encryption key is unique

➤ Файл EXE: %APPDATA%roamingmicrosoftwindowsstart menuprogramsstartup8gfg.exe
Расположение: C:\Users\User\Desktop\%APPDATA%roamingmicrosoftwindowsstart menuprogramsstartup8gfg.exe
Результаты анализов: VT + VMRay


=== 2019 ===

Обновление от 1 февраля 2019:
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Пост в Твиттере >>
Расширение: .STUB
Пример составного расширения: _<WSDFaG>_{paradise@all-ransomware.info}.STUB
Шаблон составного расширения: _<ID{6}>_{paradise@all-ransomware.info}.STUB
Шаблон зашифрованного файла: <original_filename>_%ID%_{paradise@all-ransomware.info}.STUB
Записка: Instructions with your files.txt
Email: paradise@all-ransomware.info

Обновление от 22 февраля. Дополнение к обновлению от 1 февраля. 
Пост в Твиттере >>
Расширение: _ID_{paradise@all-ransomware.info}.STUB
Файл EXE: paradise_u.exe
Результаты анализов: VT + HA

Обновление от 14 марта 2019:
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Пост в Твиттере >>
Расширение: .p3rf0rm4
Пример составного расширения: _<PWWUhA>_{babyfromparadise666@gmail.com}.p3rf0rm4
Шаблон составного расширения_<id{6}>_{babyfromparadise666@gmail.com}.p3rf0rm4
Записка: Instructions with your files.txt
Email: babyfromparadise666@gmail.com
➤ Содержание записки:
All your files have been encrypted contact us via the e-mail listed below.
e-mail: babyfromparadise666@gmail.com or e-mail: babyfromparadise666@gmail.com
Paradise Ransomware team.

Обновление от 25 марта 2019:
Пост в Твиттере >>
Расширение: .securityP
Email: support@p-security.li, support@p-security.li
Записка: Instructions with your files.txt
➤ Содержание записки:
All your files have been encrypted contact us via the e-mail listed below.
e-mail: support@p-security.li or e-mail: support@p-security.li
Paradise Ransomware team.


Обновление от 25 марта 2019:
Пост в Твиттере >>
Расширение: .Recognizer
Шаблон составного расширения: _xxxxxx_{file@p-security.li}.Recognizer
Пример составного расширения: _1i0tsc_{file@p-security.li}.Recognizer

Записка: Instructions with your files.txt
Записка HTA: MsVo8oJ8Gww5NrEcvoYndh.hta
Email: file@p-security.li, fileparadise@cock.li
Результаты анализов: VT + AR

➤ Содержание txt-записки:
All your files have been encrypted contact us via the e-mail listed below.
e-mail: file@p-security.li or e-mail: fileparadise@cock.li
Paradise Ransomware team.


➤ Содержание hta-записки:
All your files have been encrypted!
♛ Paradise Ransomware
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail file@p-security.li
You PC id: ******
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
•Before payment you can send us 1-3 files for free decryption.
•Please note that files must NOT contain valuable information.
•The file size should not exceed 1MB.
•As evidence, we can decrypt one file
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.net/buy_bitcoins 
 Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
•Do not rename encrypted files
•Do not try to decrypt your data using third party software, it may cause permanent data loss
•You are guaranteed to get the decryptor after payment
•As evidence, we can decrypt one file
•Do not attempt to use the antivirus or uninstall the program
•This will lead to your data loss and unrecoverable
•Decoders of other users is not suitable to decrypt your files - encryption key is unique

Обновление от 14 апреля 2019:
Расширение: .exploit
Шаблон составного расширения.<random>_<random>{support@p-security.li}.exploit
Email: support@p-security.li
Результаты анализов: VT

Обновление от 14 апреля 2019:
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Расширение: .p3rf0rm4
Шаблон составного расширения: .<random>_<random>{immortalsupport@cock.li}.exploit
Email: immortalsupport@cock.li
Результаты анализов: VT

Обновление от 22 апреля 2019:
Топик на форуме >>
Пост в Твиттере >>
Расширение: .sambo
Шаблон составного расширения: _<random{6}>_{petrus34@p-security.li}.sambo
Пример составного расширения: _c3tfsp_{petrus34@p-security.li}.sambo
Записка: Instructions with your files.txt
Email: petrus34@p-security.li
➤ Содержание записки:
All your files have been encrypted contact us via the e-mail listed below.
e-mail: petrus34@p-security.li or e-mail: petrus34@p-security.li
Paradise Ransomware team.

Обновление от 26 мая 2019:
Записка: hta- или html-файл
Email: file@p-security.li


Обновление от 5 августа 2019:
Пост в Твиттере >>
Самоназвание: Paradise Team Ransomware (вариант от команды Cryakl CS16). 
Идентификация в ID Ransomware: Paradise .NET
Расширение: .junior 
Шаблон составного расширения: [id-<id>].[mr.yoba@aol.com].junior 
Пример зашифрованного файла: IMG001.jpg[id-JmVqCHHg].[mr.yoba@aol.com].junior
Записка: %= RETURN FILES =&.html
Email: mr.yoba@aol.com
Результаты анализов: VT

***
Пропущенные варианты
***

Обновление от 27 сентября 2019: 
Идентификация в ID Ransomware: Paradise .NET
Расширение: .safe
Файл: TT.exe
Результаты анализов: VT

Обновление от 4 октября 2019: 
Идентификация в ID Ransomware: Paradise .NET
Расширение: .safe
Шаблон расширения: [id-<id>].[<email>].safe
Пример расширения: [id-hgEOlOtx].[opensafezona@cock.li].safe
Пример зашифрованного файла: image001.png[id-XXXXXXXX].[opensafezona@cock.li].safe
Email: opensafezona@cock.li
Записка: =_BACK_FILES_~.html
➤ Содержание записки: 
All your files are encrypted!
«Paradise» Ransomware Team!
Your unique ID
hgEOlOtx
Your personal KEY
**********
NOTE!
All your important data recorded on this PC have been locked due a security problem.
For restore, write to us by е-mail,.
You have to pay in Bitcoins.
After payment we will send you the software for decrypt that will restore all your files.
NEED PROOF?
Before payment you can send us 1-3 files , and we decrypt it for free.
File size should not exceed 1MB.
Please note that files must NOT contain valuable information.
PAYMENT INSTRUCTIONS
We accept payments in bitcoins, but you do not need to be able to use bitcoins.
You do not need a bitcoin wallet.
I will explain how you can pay using ANY currency in any way convenient to you.
Contacts
Email:
opensafezona@cock.li
or
Email:
opensafezona@cock.li
Caution!
Do not rename files
Do not try to restore your data using third-party software, it may cause permanent data loss(If you do not believe us, and still try to - make copies of all files so that we can help you if third-party software harms them)
As evidence, we can for free restore one file
Decoders of other users is not suitable to restore your files - encryption key is created on your computer when the program is launched - it is unique.

Обновление от 17 октября 2019: 
Идентификация в ID Ransomware: Paradise .NET

Пост в Твиттере >>
Топик на форуме >>
Расширение: .safe
Составное расширение: [id-XXXXXXXX].[opensafezona@cock.li].safe
Email: opensafezona@cock.li
Записка: =_BACK_FILES_~.html
Фактически тоже самое, что и 4 октября 2019 (см. выше).

Обновление от 17 октября 2019: 
Идентификация в ID Ransomware: Paradise .NET
Топик на форуме >>
Пост в Твиттере >>
Расширение: .kiss
Шаблон расширения: [id-<id>].[<email>].kiss
Пример расширения: [id-bQisraQO].[decodor@airmail.cc].kiss
Пример, как расширение может отображаться: _id-bQisraQO_._decodor_airmail.cc_.kiss
Пример зашифрованного файла: Export.pdf[id-bQisraQO].[decodor@airmail.cc].kiss
Email: decodor@airmail.cc
Telegram: @assist_decoder
Записка: %$ BACK FILES !#.html
➤ Содержание записки: 
decrypt files ? write to decodor@airmail.cc or telegram @assist_decoder
---
Содержание зашифрованного файла: 


Обновление от 24 октября:
FakeParadise. Написан на языке C ++. Подробнее на сайте 360 TS >>
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Пост на форуме >>
Расширения: .FC и .sev
Полное расширение: _Support_{ID}.FC
Полное расширение: _Kim ChinIm_{ID}.sev
Записка: ---%$$$OPEN_ME_UP$$$---.txt
Сумма выкупа: ~$2000 за BTC

Обновление от 30 октября 2019 (возможно и раньше): 
Идентификация варианта >>
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Расширение: .2k19sys
Составное расширение (шаблон): _<random>_{<email>}.2k19sys
Составное расширение (пример): _9Mm5Bz_{2k19sys@p-security.li}.2k19sys
Пример зашифрованного файла: IMG_001.jpg_9Mm5Bz_{2k19sys@p-security.li}.2k19sys
Email: 2k19sys@p-security.li, 2k19sys@p-security.li
Записка: -=###_INFO_you_FILE_###=-.txt
Результаты анализов: VT 


Обновление от 5 ноября 2019:
Пост в Твиттере >>
Расширение: _forv_{XXXXXX}.for
Примеры зашифрованных файлов:
BCD.LOG_forv_{KNUJ5K}.for
BOOTSTAT.DAT_forv_{KNUJ5K}.for
Записка: ---==%$$$OPEN_ME_UP$$$==---.txt
Результаты анализов: VT + VMR + JSA


Обновление от 25 ноября 2019:
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Пост в Твиттере >>
Расширение: .bitcore
Составное расширение (шаблон): _ID_{corebitp@cock.li}.bitcore
Записки: -=###_INFO_you_FILE_###=-.txt, MvITnLgGgPOXzjzxhI7T8Rn5WRSl8Q.hta
Email: corebitp@cock.li
Результаты анализов: VT
 


Обновление от 6 декабря 2019:
Топик на форуме >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .b1
Составное расширение (шаблон): [id-<id>].[<email>].b1
Составное расширение (пример):  [id-DryXliCf].[blackblackra@tuta.io].b1
Пример зашифрованного файла: List.xlsx[id-DryXliCf].[blackblackra@tuta.io].b1
Записка: $&#~! README =$-!=.html
➤ Содержание записки:
All your files was encrypted!
Paradise R Team!
Ur unique ID
3Qt5a***
Your personal KEY
[***]
NOTE!
All your important data that was stored on this computer have been locked due a security problem.
To back them, write to us by е-mail,.
You have to pay in Bitcoins.
After payment we will send you the special software for decrypt that will back all your files.
DO YOU NEED A PROOF?
Before payment you can send us 1-3 files , and we back you restored files for free.
File size should not exceed 1MB.
Please note that files must NOT contain valuable information.
HOW TO PAY
We accept payments in bitcoins, but you do not need to be able to use bitcoins.
You do not need a bitcoin purse.
I will explain how you can pay using ANY currency in any way convenient to you.
Communication
Email: blackblackra@tuta.io
or
Email: blackblackra@tuta.io
Warning!
Do not rename files
Do not try to back your data using not our software, it may cause permanent data loss(If you do not believe us, and still try to - make copies of all files so that we can help you if third-party software harms them)
As evidence, we can for free back one file
Decoders of other users is not suitable to back your files - encryption key is created on your computer when the program is launched - it is unique.



Обновление от 17 декабря 2019:
Идентификация в ID Ransomware: Paradise .NET
Пост в Твиттере >>
Расширение: .rdp
Записка: %%_WHERE_MY_FILES_=#.html
Email: rdpconnect@protonmail.com
Telegram: @helprestore
Судя по изображению, шифрует только часть файла, но это часть может оказаться на самом нужном месте. 


=== 2020 ===

Обновление от 6 января 2020:
Пост в Твиттере >>
Расширение: .payload
Составное расширение: _r00t_{5ptqje}.payload
Другой пример: _r00t_{nhhHyu}.payload
Записка: ---==%$$$OPEN_ME_UP$$$==---.txt
Файл: vxjqig.exe
Результаты анализов: VT + VMR
Обнаружения:
BitDefender -> Trojan.GenericKDZ.61414
ESET-NOD32 -> A Variant Of Win32/Kryptik.GZWI
Malwarebytes -> Trojan.MalPack.GS
McAfee -> GenericRXJJ-QD!6AF0D0B27EAE
Symantec -> ML.Attribute.HighConfidence
VBA32 -> BScope.Trojan.Kraplick.rck
➤ Некоторые детали: 
Пытается получить доступ к следующим разделам реестра, чтобы отключить встроенную антивирусную и антишпионскую защиту: 
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Access
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware Access, Write

Обновление от 6 января 2020:
Пост в Твиттере >>
Расширение: .ebal
Составное расширение: _r00t_{aicek1}.ebal
Другой пример: _r00t_{nhhHyu}.payload
Записка: —==%$$$OPEN_ME_UP$$$==—.txt
Файл: vxjqig.exe
Результаты анализов: VT + VMR
Обнаружения:
DrWeb -> Trojan.PWS.Stealer.27694
BitDefender -> Trojan.GenericKD.32887457
ESET-NOD32 -> A Variant Of Win32/Kryptik.GZVU
Malwarebytes -> Trojan.MalPack.GS
McAfee -> Trojan-FRTQ!F1EF7657A4D7
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002C0DA420
VBA32 -> BScope.Trojan.Downloader
➤ Некоторые детали: 
Пытается получить доступ к следующим разделам реестра, чтобы отключить встроенную антивирусную и анти-шпионскую защиту: 
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Access
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware Access, Write

Обновление от 6 января 2020:
Пост в Твиттере >>
Расширение: .njkwe
Составное расширение: _r00t_{000000}.njkwe
Записка: —==%$$$OPEN_ME_UP$$$==—.txt
Файл: uvulko.exe
Результаты анализов: VT + VMR
Обнаружения:
DrWeb -> Trojan.PWS.Stealer.27694
BitDefender -> Gen:Variant.Midie.69133
ALYac -> Trojan.Ransom.Paradise
ESET-NOD32 -> A Variant Of Win32/Kryptik.GZSE
McAfee -> Trojan-FRUI!BBD869AE2F97
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R011C0DLS19
VBA32 -> BScope.Trojan.AET.281105
➤ Некоторые детали:  
Пытается получить доступ к следующим разделам реестра, чтобы отключить встроенную антивирусную и анти-шпионскую защиту: 
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Access
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware Access, Write

Обновление от 8 января 2020:
Расширение: .payload
Составное расширение: _<random>_{<id>}.payload
Записка: ---==%$$$OPEN_ME_UP$$$==---.txt
Результаты анализов: VT 
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.28386
BitDefender -> Gen:Variant.Razy.577727
ESET-NOD32 -> A Variant Of Win32/Filecoder.Paradise.C
Malwarebytes -> Ransom.Paradise
Microsoft -> Ransom:Win32/Paradise.A!MSR
TrendMicro -> Ransom_Paradise.R002C0DA820

Обновление от 15 января 2020:
Идентификация в ID Ransomware: Paradise
Самоназвание: njkwe RaaS corporation
Пост в Твиттере >>
Расширение: .777
Составное расширение: _911_{FSLs03}.777
Записка: ---==%$$$OPEN_ME_UP$$$==---.txt
Онлайн-чат: xxxxs://prt-recovery.support/chat/31-911
Результаты анализов: VT + HA + AR + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30600
BitDefender -> Trojan.GenericKD.32956176
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Trojan.Win32.WACATAC.THAAHBO
Avira (no cloud) -> TR/AD.ParadiseRansom.qnsxz
ESET-NOD32 -> A Variant Of Win32/Kryptik.HAHL
Microsoft -> Trojan:Win32/Wacatac.C!ml
Rising -> Trojan.Kryptik!8.8 (CLOUD)
➤ Содержание записки: 
$$$$$$$$$$$$$$$$$$$$$$$$$$$$
$$ njkwe RaaS corporation $$
$$$$$$$$$$$$$$$$$$$$$$$$$$$$
WHAT HAPPENED!
Your important files produced on this computer have been encrypted due a security problem.
If you want to restore then write to the online chat.
Contact!
Online chat: https://prt-recovery.support/chat/31-911
Your operator: 911
Your personal ID: FSLs03
If you can�t access the site through a normal browser, go through 
the TOR browser (https://www.torproject.org/download/) or use VPN. 
Enter your ID and e-mail in the chat that you would immediately answered.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Do not attempt to use the antivirus or uninstall the program.
This will lead to your data loss and unrecoverable.
Decoders of other users is not suitable to decrypt your files - encryption key is unique.



Обновление от 10 марта 2020:
Статья на сайте BleepingComputer >>

Важное обновление:
Теперь при распространении Paradise использует новый приём. 
В пересылаемом с почтой email-вложении находится IQY-файл (текстовые файлы без вредоносного кода), в котором находится удаленный URL-адрес, который содержит формулу Excel, которая запускает команду PowerShell на компьютере жертвы, который загружает и запускает на выполнение вредоносный файл key.exe , который шифрует файлы и оставляет записку с требованием выкупа. Короче, команда переданная из IQY-файл в Microsoft Excel (или аналог) запустит PowerShell, который выполнит вредоносную команду. 
IQY-файл > URL-адрес > Excel > PowerShell > key.exe (Paradise Ransomware)
Использование невредоносного текстового файла затрудняет его обнаружение антивирусным программным обеспечением. Поэтому необходимо взять за правило любые email-вложения с IQY-файлами от неизвестных адресатов всегда считать вредоносными и удалять без просмотра. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы, зашифрованные Paradise B29 (.b29), можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
---
Bitdefender Decryptor может расшифровать файлы, зашифрованные некоторыми вариантами: 
Поддерживаемые расширения: .FC, .2ksys19, .p3rf0rm4, .Recognizer, .VACv2, .paradise, .CORP, .immortal, .exploit, .prt, .STUB, .sev, .sambo 
Скачайте BitDefender Decryptor for Paradise >>
Внимание! 
Emsisoft Decryptor может расшифровать файлы, зашифрованные некоторыми вариантами: 
Поддерживаемые расширения: .paradise, .2ksys19, .p3rf0rm4, .FC, .bitcore, .VACv2, .CORP, .STUB
Скачайте Emsisoft decryptor for Paradise >>
***
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Paradise)
 Write-up, Topic of Support + Write-up
 * 
 Thanks: 
 Lawrence Abrams, BleepingComputer, quietman7
 Michael Gillespie, MalwareHunterTeam, Karsten Hahn
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

У вас есть Совесть? Получите здесь!

У вас есть Совесть? Получите здесь!
Официальная ссылка на получение карты "Совесть" с бонусом для нас двоих!

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *