Если вы не видите здесь изображений, то используйте VPN.

понедельник, 11 сентября 2017 г.

Paradise

Paradise Ransomware

Paradise unencrypted: .PRT, .sell, .ransom, .logger, .securityP,  .for, .b1

Paradise decrypted: .b29, .VACv2, .CORP, .STUB, .paradise, .2ksys19, .p3rf0rm4, .Recognizer, .immortal, .exploit, .prt, .FC, .bitcore, .sev, .sambo 

Paradise .NET: .drakosha, .junior, .safe, .kiss, .worm, .rdp  

Paradise 2020: .payload, .ebal, .njkwe, .777, .FC

(шифровальщик-вымогатель, RaaS) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Paradise Ransomware. Может продаваться как RaaS ("вымогатель как услуга" - Ransomware-as-a-Service). Источник распространения: Украина. Команда вымогателей: Paradise Ransomware Team. 

Обнаружения:
DrWeb -> Trojan.Encoder.14933, Trojan.Encoder.15001, Trojan.Encoder.25080, Trojan.Encoder.25726, Trojan.Encoder.26375, Trojan.Encoder.26770, Trojan.Encoder.27435, Trojan.Encoder.28386, Trojan.Encoder.30600
BitDefender -> Gen:Variant.Ursu.411887, Gen:Heur.Ransom.RTH.1, Generic.Ransom.Paradise.8A352C3B, Generic.Ransom.Paradise.*, Trojan.GenericKDZ.61414, Trojan.GenericKD.32956176
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Paradise.B
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Microsoft -> Ransom:MSIL/Cryptid
Rising -> Ransom.Crypren!8.1D6C (CLOUD)
Symantec -> ML.Attribute.HighConfidence, Ransom.Paradise
Tencent -> Win32.Trojan.Raas.Auto
VBA32 -> Trojan-Ransom.Crypren

© Генеалогия: предыдущий Ransomware + ✂ Dharma > Paradise, Paradise RaaS Paradise .NET, Paradise 2020 и другие варианты

🌌 Согласно основам Генеалогии Ransomware, значок "ножницы" здесь означает любое заимствование — в данном случае мы видим похожую форму для зашифрованных файлов, позже появилась похожая записка, что-то ещё. Скорее всего, это используется для того, чтобы запутать детект, анализ и запугать пострадавших. 

Изображение — логотип статьи

К зашифрованным файлам добавляется составное расширение .paradise по шаблону id-[affiliate_id].[affiliate_email].paradise

Примеры зашифрованных файлов: 
my-picture.pngid-3VwVCmhU.[info@decrypt.ws].paradise
my-photo.jpgid-3VwVCmhU.[info@decrypt.ws].paradise
my-document.docid-3VwVCmhU.[info@decrypt.ws].paradise

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Записка с требованием выкупа называется: #DECRYPT MY FILES#.txt
Информатором жертвы выступает также изображение, встающее на обои рабочего стола с кратким текстом (файл desk.bmp).
Paradise RansomwareParadise Ransomware

Содержание записки о выкупе:
[WHAT HAPPENED]
Your important files produced on this computer have been encrypted due a security problem
If you want to restore them, write us to the e-mail: info@decrypt.ws
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
[FREE DECRYPTION AS GUARANTEE]
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 1Mb
[HOW TO OBTAIN BITCOINS]
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller by payment method and price
https://localbitcoins.com/buy_bitcoins
[ATTENTION]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files

Перевод записки на русский язык:
[ЧТО СЛУЧИЛОСЬ]
Ваши важные файлы, созданные на этом компьютере, были зашифрованы из-за проблем безопасности
Если вы хотите их восстановить, напишите нам на e-mail: info@decrypt.ws
Вы должны заплатить за дешифрование в биткойнах. Цена зависит от того, как быстро вы напишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
[БЕСПЛАТНАЯ ДЕШИФРОВКА КАК ГАРАНТИЯ]
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования.
Обратите внимание, что файлы НЕ должны содержать ценную информацию, и их общий размер должен быть меньше 1 Мб
[КАК ПОЛУЧИТЬ БИТКОЙНЫ]
Самый простой способ купить биткойн - сайт LocalBitcoins.
Вам необходимо зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца по способу оплаты и цене
https://localbitcoins.com/buy_bitcoins
[ВНИМАНИЕ]
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных
Если вы не пишете по email 36 часов - ваш ключ будет удален, и вы не сможете расшифровать свои файлы



Еще один информатор жертвы — HTML-записка в обновлённой версии




Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет системную теневую копию (VSS: Volume Shadow Copy), но теневые копии файлов не удаляются, поэтому файлы можно будет восстановить из точки восстановления системы. Возможно, что позже это изменится. 

➤ Прописывает в автозагрузке Windows исполняемый файл DP_Main.exe

➤ Удаляет теневые копии файлов командой:
delete shadows /all /quiet

➤ Использует сайт iplogger.org

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#DECRYPT MY FILES#.txt
DP_Main.exe
VID495097072.exe
DecriptionInfo.auth - файл, который нужно отсылать вымогателям
desk.bmp
Failed.txt
Files.txt
id.dp

Расположения:
%UserProfile%\Desktop\DecriptionInfo.auth
%UserProfile%\AppData\Local\Temp\desk.bmp
%UserProfile%\Failed.txt
%UserProfile%\Files.txt

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\{ransom filename}_RASAPI32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\{ransom filename}_ RASMANCS
HKEY_CURRENT_USER\Control Panel\Desktop WallpaperStyle = "2"
HKEY_CURRENT_USER\Control Panel\Desktop Tile = "0"
HKEY_CURRENT_USER\Control Panel\Desktop Wallpaper = "%User Temp%\desk.bmp"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DP_Main
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://178.208.77.47/api/Encrypted.php
xxxx://decrypt.ws
Email: info@decrypt.ws
tankpolice@aolonline.top
edinstveniy_decoder@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на DP_Main.exe >>  Ещё >>
IntezerAnalyze >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3-10 января 2018:
Пост в Твиттере >>
Расширение: .paradise
Шаблон: [id-<id>].[<email>].paradise
Email: paradise@all-ransomware.info
Записка: #DECRYPT MY FILES#.html
Файл: DP_Main.exe
Результаты анализов: VT
<< Скриншот записки

Обновление от 13 января 2018:
Пост в Твиттере >>
Расширение: .PRT
Составное расширение: [id-XXXXXXXX].[paradise@all-ransomware.info].PRT
Пример зашифрованного файла: File.doc[id-qKCXbrQ9].[paradise@all-ransomware.info].PRT
Email: paradise@all-ransomware.info
Записка: #DECRYPT MY FILES#.html
Файл: DP_Main.exe
Результаты анализов: VT + VMR 


➤ Обнаружения: 

DrWeb -> Trojan.Encoder.25080
BitDefender -> Generic.Ransom.Paradise.8A352C3B
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Paradise.B
McAfee -> Ransomware-GJJ!88BFD110A417
Rising -> Ransom.Crypren!8.1D6C (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto

Обновление от 16 января 2018:
Топик на форуме >>
Записка: KEY BACKUP.txt
Email: uqmv@protonmail.com
Файлы: DP_Main.exe и другие. 
<< Скриншот записки
Краткое содержание:
Hi!
I crypted all your important data 
Your documents, photos, databases, programs and other important data was encrypted. 
The only way to recover your files - contact us via "uqmv@protonmail.com"
I stored the crypted data in your hard disk.
If you want to become your data back, send me an email containing your ip address.
Your ip address: 100.100.100.100
---
Использует mimikatz для извлечения и кражи паролей. 

Обновление от 13 марта 2018:
Пост в Твиттере >>
Расширение: .sell
Шаблон составного расширения: [id-<ID{8_chars}>].[support@all-ransomware.info].sell
Email: support@all-ransomware.info
Шаблон записки: #DECRYPT MY FILES#_<ID{8_chars}>.html
Пример записки: #DECRYPT MY FILES#_uqxptvsx.html





Обновление от 14 марта 2018:
Пост в Твиттере >>
Расширения: .ransom и .logger
Составное расширение-1 (шаблон): [id-<ID{8_chars}>].[<email>].ransom
Составное расширение-2 (шаблон): [id-<ID{8_chars}>].[<email>].logger
Email: paradise@all-ransomware.info
Примеры зашифрованных файлов: 
Document001.docx[id-cQZXBG0n].[paradise@all-ransomware.info].ransom
Document002.docx[id-cQZXBG0n].[paradise@all-ransomware.info].logger
Шаблон записки: #DECRYPT MY FILES# <ID>.html
Пример записки: #DECRYPT MY FILES# cQZXBG0n.html

Обновление от 9 июня 2018:
Пост в Твиттере >>
Расширение: _V.0.0.0.1{paradise@all-ransomware.info}.prt
Email: paradise@all-ransomware.info
Записка: PARADISE_README_paradise@all-ransomware.info.txt
Содержание: 
To decrypt your files, please contact us by mail -- paradise@all-ransomware.info and paradise@all-ransomware.info
Your user id: ***
with respect Ransomware Paradise Team

Обновление от 29 июня 2018: 
Расширение: {help@badfail.info}.paradise
Email: help@badfail.info
Текстовые файлы: ID_CLIENT_help@badfail.info.txt, PARADISE_README_help@badfail.info.txt
Содержание файла ID_CLIENT_help@badfail.info.txt:
BGlkNNtGxLZDQJKImJF2TQ
Содержание файла paradise_key.bin:
BwIAAACk***935wW  (1573 знака)
Файлы: badfail.exe
Файлы ключей: paradise_key.bin, paradise_key_pub.bin
URL: xxxx://146.185.241.35/api/Encrypted.php
Результаты анализов: VT + AR
Скриншот записки с ID и ключом >>



Обновление от 3 августа 2018:
Пост в Твиттере >>
Статус: Файлы можно дешифровать! Только этот вариант. Он вообще не шифрует файлы, а только делает вид, то шифрует. 
Расширение: .b29
Составное расширение (вначале нет точки): [id-<id>].[yourencrypter@protonmail.ch].b29
Пример заш-файла: file_name.doc[id-***].[yourencrypter@protonmail.ch].b29
Email: yourencrypter@protonmail.ch
Записка: #DECRYPT MY FILES#***.html
URL: xxxx://46.161.42.115/api/Encrypted.php***
Результаты анализов: VT
Добавление в зашифрованные файлы:




Обновление от 24 декабря 2018:
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Пост в Твиттере от 29 декабря 2018 >>
Самоназвание: Paradise VACv2
Расширение: .VACv2
Формат зашифрованного файла: _<random>_{<email>}.VACv2
Записка: $%%! NOTE ABOUT FILES -=!-.html
Email: pittt@prt-decrypt.xyz
Результаты анализов: VT


 Содержание записки: 
🔒 Your files are encrypted!
♛ Paradise Ransomware Team!
Your personal ID
[redacted 16 alphanum]
WHAT HAPPENED!
•Your important files produced on this computer have been encrypted due a security problem.
•If you want to restore them, write to us by email.
•You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
•After payment we will send you the decryption tool that will decrypt all your files.
☑ FREE DECRYPTION AS GUARANTEE!
•Before payment you can send us 1-3 files for free decryption.
•Please note that files must NOT contain valuable information.
•The file size should not exceed 1MB.
•As evidence, we can decrypt one file
☑ HOW TO OBTAIN BITCOINS!
•The easiest way to buy bitcoin is LocalBitcoins site.
•You have to register, click Buy bitcoins and select the seller by payment method and price
•https://localbitcoins.net/buy_bitcoins/
•write to Google how to buy Bitcoin in your country?
✉ Contact!
•e-mail: 
•or
•e-mail: 
☒ Attention!
•Do not rename encrypted files
•Do not try to decrypt your data using third party software, it may cause permanent data loss
•You are guaranteed to get the decryptor after payment
•As evidence, we can decrypt one file
•Do not attempt to use the antivirus or uninstall the program
•This will lead to your data loss and unrecoverable
•Decoders of other users is not suitable to decrypt your files - encryption key is unique


Обновление от 30 декабря 2018:
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Пост в Твиттере от 4 января 2019 >>
Самоназвание: Paradise VACv2
Расширение: .CORP


➤ Составное расширение: <original_filename>_%ID%_{backtonormal@foxmail.com}.CORP

Пример заш-файла: reports.xml_0Fs4mT6TdvKc5cFj_{backtonormal@foxmail.com}.CORP
Email: backtonormal@foxmail.com
 Составное расширение: <original_filename>_%ID%_{alexbanan@tuta.io}.CORP
Email: alexbanan@tuta.io
 Составное расширение: <original_filename>_5fuHzax9c4RYmB64_{admin@prt-decrypt.xyz}.CORP
Email: admin@prt-decrypt.xyz
Записка: $%%! NOTE ABOUT FILES -=!-.html


 Содержание записки: 
Your files are encrypted!
Paradise Ransomware Team!
Your personal ID
*****
---
WHAT HAPPENED!
• Your important files produced on this computer have been encrypted due a security problem.
• If you want to restore them, write to us by email.
• You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
• After payment we will send you the decryption tool that wi decrypt all your files.
---
FREE DECRYPTION AS GUARANTEE!
• Before payment you can send us 1-3 files for free decryption.
• Please note that files must NOT contain valuable information.
• The file see should not exceed 1MB.
• As evidence, we can decrypt one file
---
HOW TO OBTAIN BITCOINS!
• The easiest way to buy btcon is LocalBitcoins ste.
• You have to register, dck Buy bitcoins and select the seller by payment method and price
• https://localbitcoins.net/buy_bitcoins/
• write to Google how to buy Bitcoin in your country?
---
Contact!
• e-mail: alexbanan@tuta.io
• or
• e-mail: alexbanan@tuta.io
---
Attention!
• Do not rename encrypted files
• Do not try to decrypt your data using third party software, it may cause permanent data loss
• You are guaranteed to get the decryptor after payment
• As evidence, we can decrypt one file
• Do not attempt to use the antivirus or uninstall the program
• This will lead to your data loss and unrecoverable
• Decoders of other users s not suitable to decrypt your files - encryption key is unique

➤ Файл EXE: %APPDATA%roamingmicrosoftwindowsstart menuprogramsstartup8gfg.exe
Расположение: C:\Users\User\Desktop\%APPDATA%roamingmicrosoftwindowsstart menuprogramsstartup8gfg.exe
Результаты анализов: VT + VMRay


=== 2019 ===

Обновление от 1 февраля 2019:
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Пост в Твиттере >>
Расширение: .STUB
Пример составного расширения: _<WSDFaG>_{paradise@all-ransomware.info}.STUB
Шаблон составного расширения: _<ID{6}>_{paradise@all-ransomware.info}.STUB
Шаблон зашифрованного файла: <original_filename>_%ID%_{paradise@all-ransomware.info}.STUB
Записка: Instructions with your files.txt
Email: paradise@all-ransomware.info


Обновление от 22 февраля. Дополнение к обновлению от 1 февраля. 
Пост в Твиттере >>
Расширение: _ID_{paradise@all-ransomware.info}.STUB
Файл EXE: paradise_u.exe
Результаты анализов: VT + HA

Обновление от 14 марта 2019:
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Пост в Твиттере >>
Расширение: .p3rf0rm4
Пример составного расширения: _<PWWUhA>_{babyfromparadise666@gmail.com}.p3rf0rm4
Шаблон составного расширения_<id{6}>_{babyfromparadise666@gmail.com}.p3rf0rm4
Записка: Instructions with your files.txt
Email: babyfromparadise666@gmail.com
➤ Содержание записки:
All your files have been encrypted contact us via the e-mail listed below.
e-mail: babyfromparadise666@gmail.com or e-mail: babyfromparadise666@gmail.com
Paradise Ransomware team.

Обновление от 25 марта 2019:
Пост в Твиттере >>
Расширение: .securityP
Email: support@p-security.li, support@p-security.li
Записка: Instructions with your files.txt
➤ Содержание записки:
All your files have been encrypted contact us via the e-mail listed below.
e-mail: support@p-security.li or e-mail: support@p-security.li
Paradise Ransomware team.


Обновление от 25 марта 2019:
Пост в Твиттере >>
Расширение: .Recognizer
Шаблон составного расширения: _xxxxxx_{file@p-security.li}.Recognizer
Пример составного расширения: _1i0tsc_{file@p-security.li}.Recognizer


Записка: Instructions with your files.txt
Записка HTA: MsVo8oJ8Gww5NrEcvoYndh.hta
Email: file@p-security.li, fileparadise@cock.li
Результаты анализов: VT + AR


➤ Содержание txt-записки:

All your files have been encrypted contact us via the e-mail listed below.
e-mail: file@p-security.li or e-mail: fileparadise@cock.li
Paradise Ransomware team.


➤ Содержание hta-записки:

All your files have been encrypted!
♛ Paradise Ransomware
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail file@p-security.li
You PC id: ******
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
•Before payment you can send us 1-3 files for free decryption.
•Please note that files must NOT contain valuable information.
•The file size should not exceed 1MB.
•As evidence, we can decrypt one file
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.net/buy_bitcoins 
 Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
•Do not rename encrypted files
•Do not try to decrypt your data using third party software, it may cause permanent data loss
•You are guaranteed to get the decryptor after payment
•As evidence, we can decrypt one file
•Do not attempt to use the antivirus or uninstall the program
•This will lead to your data loss and unrecoverable
•Decoders of other users is not suitable to decrypt your files - encryption key is unique

Обновление от 14 апреля 2019:
Расширение: .exploit
Шаблон составного расширения.<random>_<random>{support@p-security.li}.exploit
Email: support@p-security.li
Результаты анализов: VT

Обновление от 14 апреля 2019:
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Расширение: .p3rf0rm4
Шаблон составного расширения: .<random>_<random>{immortalsupport@cock.li}.exploit
Email: immortalsupport@cock.li
Результаты анализов: VT

Обновление от 22 апреля 2019:
Топик на форуме >>
Пост в Твиттере >>
Расширение: .sambo
Шаблон составного расширения: _<random{6}>_{petrus34@p-security.li}.sambo
Пример составного расширения: _c3tfsp_{petrus34@p-security.li}.sambo
Записка: Instructions with your files.txt
Email: petrus34@p-security.li


➤ Содержание записки:

All your files have been encrypted contact us via the e-mail listed below.
e-mail: petrus34@p-security.li or e-mail: petrus34@p-security.li
Paradise Ransomware team.

Обновление от 26 мая 2019:
Записка: hta- или html-файл
Email: file@p-security.li



Обновление от 5 августа 2019:
Пост в Твиттере >>
Самоназвание: Paradise Team Ransomware (вариант от команды Cryakl CS16). 
Идентификация в ID Ransomware: Paradise .NET
Расширение: .junior 
Шаблон составного расширения: [id-<id>].[mr.yoba@aol.com].junior 
Пример зашифрованного файла: IMG001.jpg[id-JmVqCHHg].[mr.yoba@aol.com].junior
Записка: %= RETURN FILES =&.html
Email: mr.yoba@aol.com
Результаты анализов: VT



***
Пропущенные варианты
***

Обновление от 27 сентября 2019: 
Идентификация в ID Ransomware: Paradise .NET
Расширение: .safe
Файл: TT.exe
Результаты анализов: VT

Обновление от 4 октября 2019: 
Идентификация в ID Ransomware: Paradise .NET
Расширение: .safe
Шаблон расширения: [id-<id>].[<email>].safe
Пример расширения: [id-hgEOlOtx].[opensafezona@cock.li].safe
Пример зашифрованного файла: image001.png[id-XXXXXXXX].[opensafezona@cock.li].safe
Email: opensafezona@cock.li
Записка: =_BACK_FILES_~.html


➤ Содержание записки: 

All your files are encrypted!
«Paradise» Ransomware Team!
Your unique ID
hgEOlOtx
Your personal KEY
**********
NOTE!
All your important data recorded on this PC have been locked due a security problem.
For restore, write to us by е-mail,.
You have to pay in Bitcoins.
After payment we will send you the software for decrypt that will restore all your files.
NEED PROOF?
Before payment you can send us 1-3 files , and we decrypt it for free.
File size should not exceed 1MB.
Please note that files must NOT contain valuable information.
PAYMENT INSTRUCTIONS
We accept payments in bitcoins, but you do not need to be able to use bitcoins.
You do not need a bitcoin wallet.
I will explain how you can pay using ANY currency in any way convenient to you.
Contacts
Email:
opensafezona@cock.li
or
Email:
opensafezona@cock.li
Caution!
Do not rename files
Do not try to restore your data using third-party software, it may cause permanent data loss(If you do not believe us, and still try to - make copies of all files so that we can help you if third-party software harms them)
As evidence, we can for free restore one file
Decoders of other users is not suitable to restore your files - encryption key is created on your computer when the program is launched - it is unique.

Обновление от 17 октября 2019: 
Идентификация в ID Ransomware: Paradise .NET

Пост в Твиттере >>
Топик на форуме >>
Расширение: .safe
Составное расширение: [id-XXXXXXXX].[opensafezona@cock.li].safe
Email: opensafezona@cock.li
Записка: =_BACK_FILES_~.html
Фактически тоже самое, что и 4 октября 2019 (см. выше).

Обновление от 17 октября 2019: 
Идентификация в ID Ransomware: Paradise .NET
Топик на форуме >>
Пост в Твиттере >>
Расширение: .kiss
Шаблон расширения: [id-<id>].[<email>].kiss
Пример расширения: [id-bQisraQO].[decodor@airmail.cc].kiss
Пример, как расширение может отображаться: _id-bQisraQO_._decodor_airmail.cc_.kiss
Пример зашифрованного файла: Export.pdf[id-bQisraQO].[decodor@airmail.cc].kiss
Email: decodor@airmail.cc
Telegram: @assist_decoder
Записка: %$ BACK FILES !#.html
➤ Содержание записки: 
decrypt files ? write to decodor@airmail.cc or telegram @assist_decoder
---
Содержание зашифрованного файла: 



Обновление от 24 октября:
FakeParadise. Написан на языке C ++. Подробнее на сайте 360 TS >>
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Пост на форуме >>
Расширения: .FC и .sev
Полное расширение: _Support_{ID}.FC
Полное расширение: _Kim ChinIm_{ID}.sev
Записка: ---%$$$OPEN_ME_UP$$$---.txt
Сумма выкупа: ~$2000 за BTC


Обновление от 30 октября 2019 (возможно и раньше): 
Идентификация варианта >>
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Расширение: .2k19sys
Составное расширение (шаблон): _<random>_{<email>}.2k19sys
Составное расширение (пример): _9Mm5Bz_{2k19sys@p-security.li}.2k19sys
Пример зашифрованного файла: IMG_001.jpg_9Mm5Bz_{2k19sys@p-security.li}.2k19sys
Email: 2k19sys@p-security.li, 2k19sys@p-security.li
Записка: -=###_INFO_you_FILE_###=-.txt
Результаты анализов: VT 



Обновление от 5 ноября 2019:
Пост в Твиттере >>
Расширение: _forv_{XXXXXX}.for
Примеры зашифрованных файлов:
BCD.LOG_forv_{KNUJ5K}.for
BOOTSTAT.DAT_forv_{KNUJ5K}.for
Записка: ---==%$$$OPEN_ME_UP$$$==---.txt
Результаты анализов: VT + VMR + JSA



Обновление от 25 ноября 2019:
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Пост в Твиттере >>
Расширение: .bitcore
Составное расширение (шаблон): _ID_{corebitp@cock.li}.bitcore
Записки: -=###_INFO_you_FILE_###=-.txt, MvITnLgGgPOXzjzxhI7T8Rn5WRSl8Q.hta
Email: corebitp@cock.li
Результаты анализов: VT

 


Обновление от 6 декабря 2019:
Топик на форуме >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .b1
Составное расширение (шаблон): [id-<id>].[<email>].b1
Составное расширение (пример):  [id-DryXliCf].[blackblackra@tuta.io].b1
Пример зашифрованного файла: List.xlsx[id-DryXliCf].[blackblackra@tuta.io].b1
Записка: $&#~! README =$-!=.html


➤ Содержание записки:

All your files was encrypted!
Paradise R Team!
Ur unique ID
3Qt5a***
Your personal KEY
[***]
NOTE!
All your important data that was stored on this computer have been locked due a security problem.
To back them, write to us by е-mail,.
You have to pay in Bitcoins.
After payment we will send you the special software for decrypt that will back all your files.
DO YOU NEED A PROOF?
Before payment you can send us 1-3 files , and we back you restored files for free.
File size should not exceed 1MB.
Please note that files must NOT contain valuable information.
HOW TO PAY
We accept payments in bitcoins, but you do not need to be able to use bitcoins.
You do not need a bitcoin purse.
I will explain how you can pay using ANY currency in any way convenient to you.
Communication
Email: blackblackra@tuta.io
or
Email: blackblackra@tuta.io
Warning!
Do not rename files
Do not try to back your data using not our software, it may cause permanent data loss(If you do not believe us, and still try to - make copies of all files so that we can help you if third-party software harms them)
As evidence, we can for free back one file
Decoders of other users is not suitable to back your files - encryption key is created on your computer when the program is launched - it is unique.



Обновление от 17 декабря 2019:
Идентификация в ID Ransomware: Paradise .NET
Пост в Твиттере >>
Расширение: .rdp
Записка: %%_WHERE_MY_FILES_=#.html


Email: rdpconnect@protonmail.com

Telegram: @helprestore


Судя по изображению, шифрует только часть файла, но это часть может оказаться на самом нужном месте. 



=== 2020 ===

Обновление от 6 января 2020:
Пост в Твиттере >>
Расширение: .payload
Составное расширение: _r00t_{5ptqje}.payload
Другой пример: _r00t_{nhhHyu}.payload
Записка: ---==%$$$OPEN_ME_UP$$$==---.txt
Файл: vxjqig.exe
Результаты анализов: VT + VMR
➤ Обнаружения:
BitDefender -> Trojan.GenericKDZ.61414
ESET-NOD32 -> A Variant Of Win32/Kryptik.GZWI
Malwarebytes -> Trojan.MalPack.GS
McAfee -> GenericRXJJ-QD!6AF0D0B27EAE
Symantec -> ML.Attribute.HighConfidence
VBA32 -> BScope.Trojan.Kraplick.rck

➤ Некоторые детали: 
Пытается получить доступ к следующим разделам реестра, чтобы отключить встроенную антивирусную и антишпионскую защиту: 
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Access
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware Access, Write

Обновление от 6 января 2020:
Пост в Твиттере >>
Расширение: .ebal
Составное расширение: _r00t_{aicek1}.ebal
Другой пример: _r00t_{nhhHyu}.payload
Записка: —==%$$$OPEN_ME_UP$$$==—.txt
Файл: vxjqig.exe
Результаты анализов: VT + VMR
➤ Обнаружения:
DrWeb -> Trojan.PWS.Stealer.27694
BitDefender -> Trojan.GenericKD.32887457
ESET-NOD32 -> A Variant Of Win32/Kryptik.GZVU
Malwarebytes -> Trojan.MalPack.GS
McAfee -> Trojan-FRTQ!F1EF7657A4D7
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002C0DA420
VBA32 -> BScope.Trojan.Downloader

➤ Некоторые детали: 
Пытается получить доступ к следующим разделам реестра, чтобы отключить встроенную антивирусную и анти-шпионскую защиту: 
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Access
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware Access, Write

Обновление от 6 января 2020:
Пост в Твиттере >>
Расширение: .njkwe
Составное расширение: _r00t_{000000}.njkwe
Записка: —==%$$$OPEN_ME_UP$$$==—.txt
Файл: uvulko.exe
Результаты анализов: VT + VMR
➤ Обнаружения:
DrWeb -> Trojan.PWS.Stealer.27694
BitDefender -> Gen:Variant.Midie.69133
ALYac -> Trojan.Ransom.Paradise
ESET-NOD32 -> A Variant Of Win32/Kryptik.GZSE
McAfee -> Trojan-FRUI!BBD869AE2F97
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R011C0DLS19
VBA32 -> BScope.Trojan.AET.281105

➤ Некоторые детали:  
Пытается получить доступ к следующим разделам реестра, чтобы отключить встроенную антивирусную и анти-шпионскую защиту: 
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Access
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware Access, Write

Обновление от 8 января 2020:
Расширение: .payload
Составное расширение: _<random>_{<id>}.payload
Записка: ---==%$$$OPEN_ME_UP$$$==---.txt
Результаты анализов: VT 
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.28386
BitDefender -> Gen:Variant.Razy.577727
ESET-NOD32 -> A Variant Of Win32/Filecoder.Paradise.C
Malwarebytes -> Ransom.Paradise
Microsoft -> Ransom:Win32/Paradise.A!MSR
TrendMicro -> Ransom_Paradise.R002C0DA820


Обновление от 15 января 2020:
Идентификация в ID Ransomware: Paradise
Самоназвание: njkwe RaaS corporation
Пост в Твиттере >>
Расширение: .777
Составное расширение: _911_{FSLs03}.777
Записка: ---==%$$$OPEN_ME_UP$$$==---.txt
Онлайн-чат: xxxxs://prt-recovery.support/chat/31-911
Результаты анализов: VT + HA + AR + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30600
BitDefender -> Trojan.GenericKD.32956176
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Trojan.Win32.WACATAC.THAAHBO
Avira (no cloud) -> TR/AD.ParadiseRansom.qnsxz
ESET-NOD32 -> A Variant Of Win32/Kryptik.HAHL
Microsoft -> Trojan:Win32/Wacatac.C!ml
Rising -> Trojan.Kryptik!8.8 (CLOUD)


➤ Содержание записки: 

$$$$$$$$$$$$$$$$$$$$$$$$$$$$
$$ njkwe RaaS corporation $$
$$$$$$$$$$$$$$$$$$$$$$$$$$$$
WHAT HAPPENED!
Your important files produced on this computer have been encrypted due a security problem.
If you want to restore then write to the online chat.
Contact!
Online chat: hxxxs://prt-recovery.support/chat/31-911
Your operator: 911
Your personal ID: FSLs03
If you can�t access the site through a normal browser, go through 
the TOR browser (hxxxs://www.torproject.org/download/) or use VPN. 
Enter your ID and e-mail in the chat that you would immediately answered.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Do not attempt to use the antivirus or uninstall the program.
This will lead to your data loss and unrecoverable.
Decoders of other users is not suitable to decrypt your files - encryption key is unique.

Обновление от 11-12 февраля 2020:
Статус: можно дешифровать. Emsisoft decryptor for Paradise >>
Расширение: _***_{fiasco911@protonmail.com}SDfghjkl
Пример зашифрованного файла: Proof.xml_4paNrg_{fiasco911@protonmail.com}SDfghjkl
Email: fiasco911@protonmail.com, e-mail: fiasco911@tutamail.com
Записка (txt): Instructions with your files.txt
 

Записка (hta): twU5X5u5JjqyRmBjT4Z9MFf9KNV5.hta

HTA_файл в Автозагрузке: C:\Users\5p5NrGJn0jS HALPmcxz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\twU5X5u5JjqyRmBjT4Z9MFf9KNV5.hta
Результаты анализов: VT + IA



Обновление от 10 марта 2020:
Статья на сайте BleepingComputer >>
Важное обновление:
Теперь при распространении Paradise использует новый приём. 
В пересылаемом с почтой email-вложении находится IQY-файл (текстовые файлы без вредоносного кода), в котором находится удаленный URL-адрес, который содержит формулу Excel, которая запускает команду PowerShell на компьютере жертвы, который загружает и запускает на выполнение вредоносный файл key.exe , который шифрует файлы и оставляет записку с требованием выкупа. Короче, команда переданная из IQY-файл в Microsoft Excel (или аналог) запустит PowerShell, который выполнит вредоносную команду. 
IQY-файл > URL-адрес > Excel > PowerShell > key.exe (Paradise Ransomware)
Использование невредоносного текстового файла затрудняет его обнаружение антивирусным программным обеспечением. Поэтому необходимо взять за правило любые email-вложения с IQY-файлами от неизвестных адресатов всегда считать вредоносными и удалять без просмотра. 



Обновление от 5 мая 2020:
Пост на форуме >>
Расширение: .FC
Составное расширение: _Support_{9AUjMs}.FC
Записка: ---==%$$$OPEN_ME_UP$$$==---.txt
URL + чат: http://prt-recovery.support/chat/6-Support


Обновление от 26 мая 2020:
Самоназвание: Offline Paradise Ransomware
➤ Краткое описание функционала:
На высокой скорости сканируются все локальные диски и все доступные сетевые пути, для каждого запускается отдельный поток.
Для всех ОС Windows. Пропускаются системные каталоги Windows и каталоги браузеров. Дешифровщик генерируется на основе зашифрованного файла. Используется повышение привилегий - CVE-2018-8453 , CVE-2019-1069. Шифровальщик не использует сторонние библиотеки, потому работает независимо. Перед шифрованием завершаются некоторые процессы для освобождения открытых файлов. Удаляются точки восстановления системы. Имеется защита от запуска на компьютеров пользователей из стран СНГ. Имеется возможность менять записку с требованием выкупа. Небольшой вес оригинального файла: 20 кб.




Обновление от 13 июля 2020:
Топик на форуме >>
Email: decryptdocs@msgsafe.io, decryptdocs@firemail.cc
➤ Содержание записки:
$$$$$$$$$$$$$$$$$$$$$$$$$$$$
$$ njkwe RaaS corporation $$
$$$$$$$$$$$$$$$$$$$$$$$$$$$$
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
$$ All your information is copied in case of refusal of payment will be sold $$
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
WHAT HAPPENED!
Your important files produced on this computer have been encrypted due a security problem.
If you want to restore then write to the by email.
Contact!
email: decryptdocs@msgsafe.io
ar
email: decryptdocs@firemail.cc
Your personal ID: ******
Enter your ID and e-mail in the chat that you would immediately answered.
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Do not attempt to use the antivirus or uninstall the program.
This will lead to your data loss and unrecoverable.
Decoders of other users is not suitable to decrypt your files - encryption key is unique.
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.28386
ESET-NOD32 -> A Variant Of Win32/Filecoder.Paradise.C
TrendMicro -> Ransom_Gen.R002C0WGE20



Paradise Ransomware - Builder - Keygen - Decrypter 


=== 2021 ===

Вариант от 28 января 2021:
Примеры расширений: 
_cU_{QtBxeO}Cukiesi
_cU_{tl8g1y}Cukiesi
Записка: nooode.txt
Email: agreemaster@tutanota.com, agreemaster@protonmail.com


➤ Содержание записки: 
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: agreemaster@protonmail.com  and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: agreemaster@protonmail.com
Reserved email: agreemaster@tutanota.com
Your personal ID: QtBxeO
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
---
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.28386
BitDefender -> Trojan.GenericKDZ.72694
ESET-NOD32 -> A Variant Of Win32/Kryptik.HJAY
Malwarebytes -> Glupteba.Backdoor.Bruteforce.DDS
Microsoft -> Trojan:Win32/Glupteba.DI!MTB
Rising -> Trojan.Kryptik!1.D1D6 (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Gen.R002C0WAS21


=== 2022 ===

Вариант от 22 января 2022:
Paradise .NET Ransomware
Расширение: [email].[iskaluz@protonmail.com].iskaluz
Записка: #DECRYPT MY FILES#.txt
Email: iskaluz@protonmail.com
Файл: DP_Main.exe
Раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DP_Main
Результаты анализов: VT + IA 






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы, зашифрованные Paradise B29 (.b29), можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
---
Bitdefender Decryptor может расшифровать файлы, зашифрованные некоторыми вариантами: 
Поддерживаемые расширения: .FC, .2ksys19, .p3rf0rm4, .Recognizer, .VACv2, .paradise, .CORP, .immortal, .exploit, .prt, .STUB, .sev, .sambo 
Скачайте BitDefender Decryptor for Paradise >>
Внимание! 
Emsisoft Decryptor может расшифровать файлы, зашифрованные некоторыми вариантами: 
Поддерживаемые расширения: .paradise, .2ksys19, .p3rf0rm4, .FC, .bitcore, .VACv2, .CORP, .STUB
Скачайте Emsisoft decryptor for Paradise >>
***
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Paradise)
 Write-up, Topic of Support + Write-up
 * 
 Thanks: 
 Lawrence Abrams, BleepingComputer, quietman7
 Michael Gillespie, MalwareHunterTeam, Karsten Hahn
 Andrew Ivanov
 Kangxiaopao
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии проверяются. Всё, кроме спама, вскоре будет опубликовано. Для написания комментария вам нужен Google аккаунт.

ATTENTION!!!
Your new comment will be moderated. Please do not repeat. The spam will be removed. To post a comment here, you must have a Google account.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *