вторник, 10 октября 2017 г.

BugWare

BugWare Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA для ключа, а затем требует выкуп в криптовалюте Monero, чтобы вернуть файлы. Оригинальное название: BugWare. На файле написано: PDF DOCUMENT и doc_2017100200000-15.pdf.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение по шаблону .[SLAVIC@SECMAIL.PRO].BUGWARE
Изображение жука в шифровальщике

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на бразильских и португалоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: отсутствует. Текст о выкупе скрыт в экране блокировки. 

Запиской с требованием выкупа выступают экран блокировки и изображение, встающее обоями рабочего стола.

Содержание текста о выкупе:
Olá,
Infelizmente, todos seus arquivos pessoais e banco de dados foram criptografados com algoritmos usados pelo governo com uma chave de 256 bits, mas não se assuste, ha uma solução fácil e segura para obter seus arquivos de volta, pagando a quantia de MIL REAIS em uma moeda virtual chamada MONERO para o Endereço que se encontra logo acima.
-
Assim que o você fizer o pagamento envie para o meu Email o codigo gerado na transação junto com a Sua Identificação que se encontra logo acima e também a senha criptografada com RSA-2048 que se encontra no campo de texto acima.
-
Atenção:
Não perca seu tempo procurando soluções para descriptografar de graça os arquivos usando programas na INTERNET,eles corromperão seus arquivos tornando a descriptografia impossivel mesmo com a chave correta.
VOCÊ TEM APENAS 72HORAS PARA FAZER 0 PAGAMENTO E DESCRIPTOGRAFAR SEUS ARQUIVOS CASO CONTRARIO SEUS ARQUIVOS SERÃO APAGADOS!
-
COMO COMPRAR MONERO:
Para comprar monero você precisa comprar bitcoins, use o site https://foxbit.com.br/ 
para comprar bitcoin,depois de comprado,compre o monero com seu bitcoin no site https://poloniex.com/
Abaixo alguns tutoriais no youtube:
https://www.youtube.com/watch?v=ZNwl63g66eI
https://www.youtube.com/watch?v=pUUxe68D_ek
-
CASO QUEIRA PAGAR EM OUTRA CRIPTOMOEDA ENTRE EM CONTATO PELO EMAIL ACIMA!
-

Перевод текста на русский язык:
Привет,
К сожалению, все ваши личные файлы и базы данных были зашифрованы с помощью правительственных алгоритмов с ключом 256-бит, но не паникуйте, есть простое и безопасное решение для возврата ваших файлов путем оплаты тысячи реалов в одну виртуальную валюту, называемую MONERO, на адрес, который находится чуть выше.
-
Как только вы сделаете платеж, отправьте на мой E-mail код, сгенерированный в транзакции, вместе с вашим Идентификатором, который находится выше, а также пароль, зашифрованный с помощью RSA-2048, который находится в текстовом поле выше.
-
Обратите внимание:
Не тратьте время на поиск решений для дешифрования файлов с помощью программ в сети Интернет, они испортят ваши файлы, что сделает невозможным дешифрование даже с помощью правильного ключа.
У ВАС ЕСТЬ ТОЛЬКО 72 ЧАСА, ЧТОБЫ СДЕЛАТЬ ОПЛАТУ И РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ, ИНАЧЕ ВАШИ ФАЙЛЫ БУДУТ УДАЛЕНЫ!
-
КАК КУПИТЬ MONERO:
Чтобы купить monero, вам нужно купить биткоины, используя сайт https://foxbit.com.br/
купить биткойн, после покупки купить monero на ваши биткоины на сайте https://poloniex.com/
Ниже несколько руководств на Youtube:
https://www.youtube.com/watch?v=ZNwl63g66eI
https://www.youtube.com/watch?v=pUUxe68D_ek
-
ЕСЛИ ВЫ ХОТИТЕ ПЛАТИТЬ В ДРУГИХ КРИПТОВАЛЮТАХ СВЯЖИТЕСЬ C НАМИ ПО EMAIL ВЫШЕ!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (PDF.EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
doc_2017100200000-15.pdf.exe (7-zip)
bugware.exe или <random>.exe
bugware.bmp или wpp.bmp - изображение на обои Рабочего стола
Lista.log 

Расположения:
%AppData%\Lista.log
%Desktop%\bugware.bmp

Записи реестра, связанные с этим Ransomware:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BUGWARE\
HKCU\SOFTWARE\BUGWARE\Arquivos
HKCU\SOFTWARE\BUGWARE\Chavepriv8
HKCU\SOFTWARE\BUGWARE\Enviado
HKCU\SOFTWARE\BUGWARE\ID

HKCU\SOFTWARE\BUGWARE\prazo
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: slavic@secmail.pro
URL: xxxx://dedamento-vendas.xyz/***

xxxx://getrichordietryin.xyz/***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 октября:
Пост в Твиттере >>
https://twitter.com/malwrhunterteam/status/918403062993182720
Расширение: .[SLAVIC@SECMAIL.PRO].CRIPTOGRAFADO
На файле написано:  D.O.C.U.M.E.N.T.O
Файлы: boleto-atualizado-7853.docx.scr и boleto-atualizado-7852.exe
BTC: 1PNFVruiLaN4Bh8Jgbw5LEjMaxGBMZvoXc
Результаты анализов: VT
Скриншоты экрана блокировки, списка стран и обоев рабочего стола.
Срок уплаты выкупа увеличился с 72 часов до 168 (неделя), но так ли это. 
Разработчик оставил в ресурсах неприятный мем о женщинах с надписями в виде поговорки. 


Обновление от 18 октября 2017:
Пост в Твиттере >>
Расширение: .[MAXVISION@SECMAIL.PRO].CRIPTOGRAFADO
Файлы: conversa-whatsapp-backup.scr
*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BugWare)
 Write-up, Topic of Support
 * 
Added later:
Write-up by Zscaler (December 2, 2017)
*
*
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Zscaler
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton