понедельник, 11 сентября 2017 г.

Paradise

Paradise Ransomware

Paradise B29 Ransomware

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Paradise Ransomware. Может продаваться как RaaS ("вымогатель как услуга" - Ransomware-as-a-Service). Источник распространения: Украина. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение .paradise по шаблону id-[affiliate_id].[affiliate_email].paradise

Примеры зашифрованных файлов: 
my-picture.pngid-3VwVCmhU.[info@decrypt.ws].paradise
my-photo.jpgid-3VwVCmhU.[info@decrypt.ws].paradise
my-document.docid-3VwVCmhU.[info@decrypt.ws].paradise

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Записка с требованием выкупа называется: #DECRYPT MY FILES#.txt
Информатором жертвы выступает также изображение, встающее на обои рабочего стола с кратким текстом (файл desk.bmp).
Paradise RansomwareParadise Ransomware

Содержание записки о выкупе:
[WHAT HAPPENED]
Your important files produced on this computer have been encrypted due a security problem
If you want to restore them, write us to the e-mail: info@decrypt.ws
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
[FREE DECRYPTION AS GUARANTEE]
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 1Mb
[HOW TO OBTAIN BITCOINS]
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller by payment method and price
https://localbitcoins.com/buy_bitcoins
[ATTENTION]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files

Перевод записки на русский язык:
[ЧТО СЛУЧИЛОСЬ]
Ваши важные файлы, созданные на этом компьютере, были зашифрованы из-за проблем безопасности
Если вы хотите их восстановить, напишите нам на e-mail: info@decrypt.ws
Вы должны заплатить за дешифрование в биткойнах. Цена зависит от того, как быстро вы напишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
[БЕСПЛАТНАЯ ДЕШИФРОВКА КАК ГАРАНТИЯ]
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования.
Обратите внимание, что файлы НЕ должны содержать ценную информацию, и их общий размер должен быть меньше 1 Мб
[КАК ПОЛУЧИТЬ БИТКОЙНЫ]
Самый простой способ купить биткойн - сайт LocalBitcoins.
Вам необходимо зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца по способу оплаты и цене
https://localbitcoins.com/buy_bitcoins
[ВНИМАНИЕ]
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных
Если вы не пишете по email 36 часов - ваш ключ будет удален, и вы не сможете расшифровать свои файлы



Еще один информатор жертвы — HTML-записка в обновлённой версии




Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#DECRYPT MY FILES#.txt
DP_Main.exe
VID495097072.exe
DecriptionInfo.auth - файл, который нужно отсылать вымогателям
desk.bmp
Failed.txt
Files.txt
id.dp

Расположения:
%UserProfile%\Desktop\DecriptionInfo.auth
%UserProfile%\AppData\Local\Temp\desk.bmp
%UserProfile%\Failed.txt
%UserProfile%\Files.txt

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\{ransom filename}_RASAPI32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\{ransom filename}_ RASMANCS
HKEY_CURRENT_USER\Control Panel\Desktop WallpaperStyle = "2"
HKEY_CURRENT_USER\Control Panel\Desktop Tile = "0"
HKEY_CURRENT_USER\Control Panel\Desktop Wallpaper = "%User Temp%\desk.bmp"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://178.208.77.47/api/Encrypted.php
xxxx://decrypt.ws
Email: info@decrypt.ws
tankpolice@aolonline.top
edinstveniy_decoder@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на DP_Main.exe >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3-10 января 2018:
Пост в Твиттере >>
Расширение: .paradise
Шаблон: [id-<id>].[<email>].paradise
Email: paradise@all-ransomware.info
Записка: #DECRYPT MY FILES#.html
Файл: DP_Main.exe
Результаты анализов: VT
<< Скриншот записки

Обновление от 16 января 2018:
Топик на форуме >>
Записка: KEY BACKUP.txt
Email: uqmv@protonmail.com
Файлы: DP_Main.exe и другие. 
<< Скриншот записки
Краткое содержание:
Hi!
I crypted all your important data 
Your documents, photos, databases, programs and other important data was encrypted. 
The only way to recover your files - contact us via "uqmv@protonmail.com"
I stored the crypted data in your hard disk.
If you want to become your data back, send me an email containing your ip address.
Your ip address: 100.100.100.100

Обновление от 13 марта 2018:
Пост в Твиттере >>
Расширение: .sell
Шаблон составного расширения: [id-<ID{8_chars}>].[support@all-ransomware.info].sell
Email: support@all-ransomware.info
Шаблон записки: #DECRYPT MY FILES#_<ID{8_chars}>.html
Пример записки: #DECRYPT MY FILES#_uqxptvsx.html




Обновление от 14 марта 2018:
Пост в Твиттере >>
Расширения: .ransom и .logger
Составное расширение-1 (шаблон): [id-<ID{8_chars}>].[<email>].ransom
Составное расширение-2 (шаблон): [id-<ID{8_chars}>].[<email>].logger
Email: paradise@all-ransomware.info
Примеры зашифрованных файлов: 
Document001.docx[id-cQZXBG0n].[paradise@all-ransomware.info].ransom
Document002.docx[id-cQZXBG0n].[paradise@all-ransomware.info].logger
Шаблон записки: #DECRYPT MY FILES# <ID>.html
Пример записки: #DECRYPT MY FILES# cQZXBG0n.html


Обновление от 9 июня 2018:
Пост в Твиттере >>
Расширение: _V.0.0.0.1{paradise@all-ransomware.info}.prt
Email: paradise@all-ransomware.info
Записка: PARADISE_README_paradise@all-ransomware.info.txt
Содержание: 
To decrypt your files, please contact us by mail -- paradise@all-ransomware.info and paradise@all-ransomware.info
Your user id: ***
with respect Ransomware Paradise Team

Обновление от 29 июня 2018: 
Расширение: {help@badfail.info}.paradise
Email: help@badfail.info
Текстовые файлы: ID_CLIENT_help@badfail.info.txt, PARADISE_README_help@badfail.info.txt
Содержание файла ID_CLIENT_help@badfail.info.txt:
BGlkNNtGxLZDQJKImJF2TQ
Содержание файла paradise_key.bin:
BwIAAACk***935wW  (1573 знака)
Файлы: badfail.exe, 996E.exe, 
Файлы ключей: paradise_key.bin, paradise_key_pub.bin
URL: xxxx://146.185.241.35/api/Encrypted.php
Результаты анализов: VT + AR
Скриншот записки с ID и ключом >>


Обновление от 3 августа 2018:
Пост в Твиттере >>
Статус: Файлы можно дешифровать! Только этот вариант. 
Расширение: .b29
Составное расширение (вначале нет точки): [id-<id>].[yourencrypter@protonmail.ch].b29
Пример заш-файла: file_name.doc[id-***].[yourencrypter@protonmail.ch].b29
Email: yourencrypter@protonmail.ch
Записка: #DECRYPT MY FILES#***.html
URL: xxxx://46.161.42.115/api/Encrypted.php***
Добавление в зашифрованные файлы:
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы, зашифрованные Paradise B29 (.b29), можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files encrypted with Paradise B29 (.b29) can be decrypted!
I recommend getting help with this link to Michael Gillespie >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Paradise)
 Write-up, Topic of Support + Write-up
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton