вторник, 31 октября 2017 г.

Scarab-Jackie

Scarab-Jackie Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Jackie Chan. На файле написано: Manager_Agent.old.exe и Manager_Agent.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия:  Scarab > Scarab-Jackie

К зашифрованным файлам добавляется расширение .[Jackie7@asia.com]
Шаблон можно записать так: .[email]
Сами файлы переименовываются с помощью Base64. 

Примеры зашифрованных файлов: 
3geBKTm1xU3=IH6q6JIJGx7Tp6HZAnX8beI.[Jackie7@asia.com]
Aty7HN=sAoq0EwKi=N9RC0EfRmdoeowL.[Jackie7@asia.com]
cDqsTYg0IsByvxqbia0HUydL43m2r76+TB=1OCQz.[Jackie7@asia.com]
9diZ3uLI569RuzS1IR+JBhbceHiTCp==.[Jackie7@asia.com]
YFTEPFcrsYsBzQ23ksfXXIS96L3b0wfbQrE.[Jackie7@asia.com]
Вымогатели прикрываются именем Джекки Чана

Активность этого крипто-вымогателя пришлась на конец октября - ноябрь - декабрь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: INSTRUCTION FOR DATA RECOVERY.TXT

Видимо некую запугивающую роль играет изображение, которое загружается по одной из коротких ссылок:


Содержание записки о выкупе:
Your personal ID
AAAAAAABRSCtIJZ***
* No data from your computer has been stolen or deleted.
* Follow the instructions to restore the files.
* How to get the automatic decryptor:
1) Contact us by e-mail: Jackie7@asia.com. In the letter, indicate your personal identifier (look at the beginning of this document) and the external ip-address of the computer on which the encrypted files are located.
2) After answering your request, our operator will giue you further instructions that will show what to do next (the answer you will receive as soon as possible)
** Send a copy of the letter to Second email address : Jchan@india.com
* Free decryption as guarantee?
Before paying you can send us up to 5 files for free decryption.
The total size of files must be less than 5 Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
ATTENTION!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* If you do not receive a reply within 24 hours, create an account on Gmail.com and try again.

Перевод записки на русский язык:
Ваш личный идентификатор
AAAAAAABRSCtIJZ ***
* Данные с вашего компьютера не украдены или удалены.
* Следуйте инструкциям по восстановлению файлов.
* Как получить автоматический декриптор:
1) Свяжитесь с нами по email: Jackie7@asia.com. В письме укажите свой личный идентификатор (смотрите начало этого документа) и внешний ip-адрес компьютера, на котором находятся зашифрованные файлы.
2) После ответа на ваш запрос наш оператор даст вам дальнейшие инструкции, которые покажут, что делать дальше (ответ вы получите как можно скорее)
** Отправьте копию письма на второй email-адрес: Jchan@india.com
* Бесплатное дешифрование в качестве гарантии?
Перед оплатой вы можете отправить нам до 5 файлов для бесплатного дешифрования.
Общий размер файлов должен быть менее 5 Мб (без архивирования), а файлы не должны содержать ценную информацию (базы данных, резервные копии, большие листы Excel и т. Д.).
ВНИМАНИЕ!
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровывать свои данные чужими программами, это может привести к безвозвратной потере данных.
* Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.
* Если вы не получили ответ в течение 24 часов, создайте учетную запись на Gmail.com и повторите попытку.



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Также может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
 cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP
 wbadmin.exe wbadmin DELETE SYSTEMSTATEBACKUP
 cmd.exe /c wmic SHADOWCOPY DELETE
 WMIC.exe wmic SHADOWCOPY DELETE
 cmd.exe /c vssadmin Delete Shadows /All /Quiet
 vssadmin.exe vssadmin Delete Shadows /All /Quiet
 cmd.exe /c bcdedit /set {default} recoveryenabled No
 bcdedit.exe bcdedit /set {default} recoveryenabled No
 cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
 bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures

Затем оставляет записки о выкупе и открывает перед жертвой одну их них командами: 
 cmd.exe /c start /max notepad.exe "%USERPROFILE%\INSTRUCTION FOR DATA RECOVERY.TXT"
 notepad.exe %USERPROFILE%\INSTRUCTION FOR DATA RECOVERY.TXT"

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INSTRUCTION FOR DATA RECOVERY.TXT
Manager_Agent.exe
Manager_Agent.old.exe
picture-13-18.jpg
Meeting Holland and Barrett 19.10.17.docx.[Jackie7@Asia.Com]

Расположения:
%USERPROFILE%\INSTRUCTION FOR DATA RECOVERY.TXT"
C:\Users\user\AppData\Roaming\Manager_Agent.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Jackie7@asia.com and Jchan@india.com
Связанные URL: xxxx://www.yip.su/
xxxxs://yip.su/2w3t45  >> xxxxs://cache.eremnews.com/wp-content/uploads/2016/08/13-18.jpg
xxxx://iplogger.com/  (88.99.66.31:80 Германия)
xxxxs://iplogger.com/2Y9P65 >> xxxxs://www.google.com.sa/webhp?hl=ar (Саудовская Аравия, арабский язык)
xxxxs://2no.co/3ixuB3.csv
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Гибридный анализ на файл Word-документа - 15.11.17 >>
VirusTotal анализ на файл Word-документа - 15.11.17 >>
JoeSandbox анализ и PDF-отчёт >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):

Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018

Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov
 Michael Gillespie
 (victim in the topics of support)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

MBR-ONI

ONI Ransomware

MBR-ONI Ransomware

(шифровальщик-вымогатель, MBR-модификатор)


Этот крипто-вымогатель шифрует данные пользователей с помощью DiskCryptor и шифров AES-256 + RSA-2048, а затем требует связаться по email, чтобы уплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле написано: ONI.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .oni

Ранняя активность этого крипто-вымогателя пришлась на начало июля, как вариант GlobeImposter. Другой вариант, модифицирующий MBR, был описан в конце октября 2017 г. Ориентирован на японских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!README!!!.html
MBR-ONI Ransomware

Содержание записки о выкупе:
重要な情報!
すべてのファイルは、RSA-2048およびAES-256暗号で暗号化されています。
心配しないで、すべてのファイルを元に戻すことができます。
すべてのファイルを素早く安全に復元できることを保証します。
ファイルを回復する手順については、お問い合わせ。
信頼性を証明するために、2ファイルを無料で解読できます。ファイルと個人IDを私たちにお送りください。
(ファイルサイズ10MB未満、機密情報なし)
連絡先
hyakunoonigayoru@yahoo.co.jp

Перевод записки на русский язык:
Важная информация!
Все файлы зашифрованы с помощью RSA-2048 и AES-256 шифров.
Не волнуйтесь, вы можете восстановить все файлы.
Мы гарантируем, что все файлы можно безопасно восстановить быстро и безопасно.
Для получения инструкций по восстановлению файлов свяжитесь с нами.
Чтобы доказать надежность, вы можете бесплатно расшифровать два файла. Отправьте нам файл и персональный идентификатор.
(Размер файла менее 10 МБ, без конфиденциальной информации)
Контактный адрес
hyakunoonigayoru@yahoo.co.jp


Другим информатором жертвы выступает краткий текст, выводящийся после перезаписи MBR.

Содержание текста:
Your data is ENCRYPTED!
You will not decrypt it without our help? Your id: ***
Contact us: oninoy0ru@***
PASSWORD: _

Перевод текста на русский язык:
Ваши данные ЗАШИФРОВАНЫ!
Вы не сможете расшифровывать их без нашей помощи? Ваш id: ***
Связь с нами: oninoy0ru@***
ПАРОЛЬ: _

Исследователи выяснили, что большинство компьютеров были инфицированы простой версией ONI. Вариант MBR-ONI наблюдался только на нескольких машинах. Эти машины определённо имели серверную службу Active Directory и другой набор активных серверных служб. 

У компьютеров, заражённых вариантом MBR-ONI, кроме того, отображалась одна и та же записка о выкупе с одинаковым идентификатором для всех зараженных машин. У компьютеров, заражённых вариантом ONI генерировался уникальный идентификатор для каждой машины. 



Технические детали

MBR-ONI может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

По данным исследователей заражению компьютеров предшествовала вредоносная кампания копьё-фишинга, в результате которой на компьютеры жертв устанавливались трояны, открывающие удалённый доступ или средство удалённого управления (RAT), в частности, утилита Ammyy Admin. 

Ammyy Admin загружается и запускается на выполнение скриптом (VBScript), запускающимся после включения получателем письма макросов в документе MS Word, находящимся во вложенном в письмо zip-архиве. 

 Для шифрования используется модифицированная версия DiskCryptor. 
✔ Для удалённого проникновения использовалась утилита Ammyy Admin. 
✔ Зачистка журналов вымогателем может свидетельствовать о том, что злоумышленники также использовали эксплойт EternalBlue в сочетании с другими инструментами для распространения по всей сети скомпрометированной компании. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускаются следующие директории:
COMODO
ESET
Microsoft
Microsoft Help
Windows
Windows App Certification Kit
Windows Defender
Windows Kits
Windows Mail
Windows Media Player
Windows Multimedia Platform
Windows NT
Windows Phone Kits
Windows Phone Silverlight Kits
Windows Photo Viewer
Windows Portable Devices

Файлы, связанные с этим Ransomware:
oni.exe (srvupd.exe) - исполняемый файл вымогателя
xcopy.exe - копия исполняемого файла
!!!README!!!.html - записка о выкупе
qfjgmfgmkj.tmp - специальный временный файл
clean.bat - файл для очистки журналов и данных о присутствии
test.bat - вспомогательный файл для копирования

Расположения:
%Temp%\qfjgmfgmkj.tmp - специальный файл, запрещающий повторную установку данного шифровальщика. 

🚩Возможно, что файл qfjgmfgmkj.tmp можно создать заранее и тем самым защититься от атаки этого шифровальщика. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: hyakunoonigayoru@yahoo.co.jp
oninoy0ru@yahoo.co.jp
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ (GlobeImposter вариант) >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Cylance blog
 Cybereason blog
 BleepingComputer
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 27 октября 2017 г.

XiaoBa

XiaoBa Ransomware

FlyStudio Ransomware

(шифровальщик-вымогатель, деструктор)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 1200 юаней = 180,81$ в BTC, чтобы вернуть файлы. Оригинальное название: XiaoBa. На файле написано: xiaoba.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия:  выясняется.

К зашифрованным файлам добавляются расширения от .XiaoBa1 до .XiaoBa34

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на китайских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
_@XiaoBa@_.bmp
_@Explanation@_.hta

Содержание записки о выкупе:
Ooops, your important files have been encrypted!
!------ 重要加密 ------ !
你柏所有文件已被 RSA-2048 AES-128 算法進行了加密
請硕縦破解  , 因為您無  眷破解文件可能導致文壊 這可能會損害他們
只有我們的解密辦捕解密您的文件
如果您看到這個壁紙卻看不到 “XiaoBa” 窗口 , 那麼就是您的防病毒軟件    
刪除了此解密軟件或葡恣從計算機中刪除了它
如果您需要您的文件I必須運行解密軟件
請找到解密軟件或從防病毒軟件隔雜區還原
運行解密軟件 , 並按照說明進行操作
請向指定地址發送約1200元人民幣=180.81$的比特幣
比特幣錢包:1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB
想獲取更多信息請點擊桌面的 _@Explanation@_.hta
E-mail:B32588601@163.com

Перевод записки на русский язык:
Упс, все ваши важные файлы зашифрованы!
!------ Важные файлы зашифрованы ------ !
Все файлы зашифрованы с алгоритмами RSA-2048 AES-128
Попробуйте взломать, но вы не вернете файлы, это приведет к тому, что текст может быть повреждён.
Только наше дешифрование может вернуть ваши файлы. 
Если вы видите эти обои, но не видите окно "XiaoBa", то ваша антивирусная программа поместила эту программу в карантин или удалила с компьютера.
Если вам нужны файлы, то вы должны заново запустить нашу программу для дешифрования.
Найдите нашу программу для дешифрования или восстановите её из карантина антивируса.
Запустите программу дешифрования и следуйте инструкциям.
Пожалуйста, отправьте около 1200 юаней = 180,81$ в биткоинах на указанный адрес BTC-кошелька: 1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB
Для получения информации найдите на рабочем столе файл _@Explanation@_.hta
E-mail: B32588601@163.com


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Создает множество процессов. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, удаляет точки восстановления командой:
cmd /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

➤ Зашифрованные файлы повреждаются. Уплата выкупа бесполезна!

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_@XiaoBa@_.bmp
_@Explanation@_.hta
xiaoba.exe
AutoRunApp.vbs

Расположения:
\Desktop\_@Explanation@_.hta
C:\AutoRunApp.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: http://baidu.com
http://tieba.baidu.com
http://wenku.baidu.com
http://xueshu.baidu.com
http://zhidao.baidu.com и другие
Email: B32588601@163.com
BTC: 1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  VT+
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 4 ноября 2017:
Сумма выкупа: 250 RMB (китайские юани) = $37.696 в BTC
Email: B32588601@163.com
BTC: 1NodpehhyEnJZUE3vsGXHm8RYLfydMZkv4

Экран пользователь блокируется. 
Результаты анализов: HAVT
<< Скриншот с требованиями выкупа




Обновление от 18 ноября 2017:

Пост в Твиттере >>
Сумма выкупа: 0.1 BTC
Email: TheYuCheng@yeah.net
BTC: 17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6
Результаты анализов: VT
<< Скриншот с требованиями выкупа
См. статью Want Money Ransomware >>


Обновление от 24-27 февраля 2018:
Пост в Твиттере >> + Tweet
Расширение: .Encrypted[BaYuCheng@yeah.net].XiaBa
Записка: _XiaoBa_Info_.hta
Email: BaYuCheng@yeah.net
Результаты анализов: VB + VT + VT
 


Обновление от 17 апреля 2018:
➤ Теперь XiaoBa присоединяет майнер coinminer к исполняемым файлам (.exe, .com, .scr, .pif) на всём жестком диске, включая основные папки операционной системы. После этого запуск любого из заряженных таким образом исполняемых файлов запускает только coinminer, а не само приложение. Это приводит к проблемам, при которых Windows не сможет загрузиться.
➤ XiaoBa также внедряет (инжектирует) скрипт Coinhive во все файлы HTML и HTM, а также удаляет все файлы с расширениями .gho и .iso, которые часто используются в антивирусных образах Live-CD/DVD (например, Norton Ghost использует файлы с расширением .gho, а Kaspersky Rescue Disk использует .iso)
➤ Другой вариант XiaoBa тоже инжектирован, но также содержит 32-битную и 64-битную версию майнера XMRig.
Подробности в статье от TrendMicro. 

Обновление от 5 июня 2018:
Пост в Твиттере >>
Расширение: .AdolfHitler
Email: BaYuCheng@yeah.net
Записка-изображение: # # DECRYPT MY FILE # #.bmp
Файл: New Folder.exe
Результаты анализов: VT







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as XiaoBa)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 26 октября 2017 г.

Zipper

Zipper Ransomware

(zip-вымогатель)


Этот крипто-вымогатель помещает данные пользователей в zip-архив под паролем, а затем требует выкуп за пароль, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К заархивированным файлам добавляется расширение .zip


Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Unzip your ZIP files.txt

Содержание записки о выкупе:
Your files have been compressed!
To recover them, you need a security key.
If you're really interested in their recovery, please submit your code for reference: ******* zip
For the email: zip@email.tg
Your contact will be responded to as soon as possible, and if necessary offered a recovery guarantee.

Перевод записки на русский язык:
Ваши файлы сжаты!
Чтобы восстановить их, вам нужен ключ безопасности.
Если вы правда заинтересованы в их восстановлении, отправьте свой код для справки: ******* zip
На email: zip@email.tg
На ваш контакт ответим как можно скорее, и при необходимости дадим гарантию на восстановление.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Unzip your ZIP files.txt

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
zip@email.tg
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 июня 2018:
Email-1: zip@email.tg
Email-2: contactfileszip@email.tg
➤ Содержание записки о выкупе: 
Your files have been compressed!
To recover them, you need a security key.
If you're really interested in their recovery, please submit your code for reference: 
For the email: zip@email.tg or to our alternative email: contactfileszip@email.tg

Your contact will be responded to as soon as possible, and if necessary offered a guarantee of recovery of the files.
Топик на форуме >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Zipper)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kerkoporta

Kerkoporta Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $100 с подарочных карт Paysafe или Amazon, чтобы получить ключ дешифрования. Оригинальное название: Κερκόπορτα 
(на греческом, читай: Kerkoporta). Название проекта: Kerkoporta SERVER и removerat (RemoveRAT). На файле написано: Windows Updates. Среда разработки: Visual Studio 2017. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам должно было добавляться расширение .encryptedsadly
Но в данной версии шифрование не производится. 

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на грекоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе (греческая версия):
ΩΧ ΟΧΙ
Τι έγινε?
Όλα σου τα αρχεία έχουν κρυπτογραφηθεί!
Τι να κάνεις?
Αγόρασε απο ένα περίπτερο απόδειξη paysafe αξίας 100$ και γράψε τον κωδικό εδώ
ΠΡΟΣΟΧΗ: Σε παρίπτωση λάθος κωδικού ή προσπάθειας αφάιρεσης του ιού το ποσό θα ανέβει και η ζημιά στον υπολογιστή θα γίνει μεγαλύτερη

Перевод записки на русский язык:
О, нет
Что случилось?
Все ваши файлы зашифрованы!
Что делать?
Купите подарочную карту Paysafe на $100 и напишите здесь его PIN-код.
ПРЕДУПРЕЖДЕНИЕ. В случае ошибочного ввода кода или попытки очистить вирус сумма возрастёт, а вред компьютеру будет больше.



Содержание записки о выкупе (английская версия):
OH NO
What happened ?
All your personal files have been encrypted!
What to do ?
Buy an amazon gift card of 100$ type the code below and you will get your dectryption key on your email
WARNING: Any false credentials or attempts to remove the ransomware will result in further damage

Перевод записки на русский язык:
О НЕТ
Что случилось?
Все ваши личные файлы были зашифрованы!
Что делать?
Купите подарочную карту Amazon в размере 100$, введите код ниже, и вы получите свой ключ дешифрования на ваш email.
ПРЕДУПРЕЖДЕНИЕ: Любые ошибки ввода кода или попытки удалить вымогателя приведут к большему повреждению.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Имеет функционал RAT и блокировщика.  

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Windows Updates.exe
Windows Updates.lnk
UpData.bat
Updates.data
<random>.exe

Расположения:
%APPDATA%\Microsoft\Windows\Windows Update Protocol\UpData.bat
%APPDATA%\Microsoft\Windows\Windows Update Protocol\Updates.data
%APPDATA%\Microsoft\Windows\Windows Update Protocol\<random>.exe
%USERPROFILE%\Start Menu\Programs\Startup\Windows Updates.lnk

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
executecommand.ddns.net (Греция)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Kerkoporta)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie 
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton