пятница, 1 декабря 2017 г.

HC7

HC7 Ransomware

GOTYA Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) и SHA256, а затем требует выкуп в $500-$700 в BTC за каждый ПК или $5000 за всю сеть предприятия, чтобы вернуть файлы. Оригинальное название не указано. Написан на Python.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HC6 > HC7

К зашифрованным файлам добавляется расширение .gotya или .GOTYA

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RECOVERY.TXT 

Содержание записки о выкупе (два разных варианта):
ALL YOUR FILES WERE ENCRYPTED.
TO RESTORE THIS FILE, YOU MUST SEND $700 BTC FOR MASCHINE
OR $5,000 BTC FOR ALL NETOWRK
ADDRESS: 1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6
AFTER PAYMENT SENT EMAIL m4zm0v@keemail.me
ALONGWITH YOUR DENTITY: TVNHT0JTMDk=
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK
---

ALL YOUR FILES WERE ENCRYPTED. 

TO RESTORE, YOU MUST SEND $500 BTC FOR ONE COMPUTER
OR $5,000 BTC FOR ALL NETWORK
ADDRESS: 1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
AFTER PAYMENT SENT EMAIL m4zn0v@keemail.me
ALONG WITH YOUR IDENTITY: REVWRUxPUEVSLTA4
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK


Перевод записки на русский язык:
Все ваши файлы были зашифрованы.
Чтобы восстановить, вы должны отправить $500 в BTC за один компьютер
или $5000 за всю сеть
Адрес: 1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
После оплаты отправьте email на m4zn0v@keemail.me
Вместе с вашей идентификацией: REVWRUxPUEVSLTA4
Не выключайте компьютер, если он не сломается



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

HC7 использует пароль, передаваемый через командную строку. 

Идентификатор жертвы, сохраняемый в записке о выкупе, создается путем добавления 9-ки к имени компьютера, а затем результат кодируется в base64.


Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .3gp, .7z, .accdb, .aes, .ai, .apk, .ARC, .arch00, .arw, .asc, .asf, .asm, .asp, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .biz, .bkf, .bkp, .blob, .bmp, .brd, .bsa, .cab, .cas, .cdr, .cer, .cfr, .cgm, .class, .cmd, .cpp, .cr2, .crt, .crw, .csr, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbf, .dbfv, .dch, .dcr, .der, .desc, .dif, .dip, .djv, .djvu, .dmp, .dng, .doc, .docb, .docm, .docm, .docx, .DOT, .dotm, .dotx, .dwg, .dxg, .epk, .eps, .erf, .esm, .exe, .ff, .fla, .flv, .forge, .fos, .fpk, .frm, .fsh, .gdb, .gho, .gpg, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .hwp, .ibank, .ibd, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jpeg, .jpeg, .jpg, .js, .kdb, .kdc, .key, .kf, .lay, .lay6, .layout, .lbf, .ldf, .lic, .litemod, .log, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mid, .mkv, .mlx, .mml, .mov, .mp3, .mpeg, .mpg, .mpqge, .mrwref, .ms11(Securitycopy), .MYD, .MYI, .ncf, .NEF, .nrw, .ntl, .ocx, .odb, .odc, .odm, .odp, .ods, .ods, .odt, .orf, .otg, .ots, .ott, .p12, .p7b, .p7c, .pak, .PAQ, .pas, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppam, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qcow2, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sch, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .snx, .sql, .SQLITE3, .SQLITEDB, .sr2, .srf, .srt, .srw, .stc, .stw, .sum, .svg, .swf, .sxc, .sxm, .sxw, .syncdb, .t12, .t13, .tar, .tar.bz2, .tar.gz, .tax, .tbk, .tgz, .tif, .tiff, .tor, .unity3d, .uot, .upk, .upx, .vbs, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmx, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlc, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xlw, .xml, .xxx, .zip, .ztmp (285 расширений). Замеченные дубли зачёркнуты и не считаются. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, файлы wallet.dat, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ, файлы интернет-банкинга, налоговые декларации и пр. пр.

Файлы, связанные с этим Ransomware:
RECOVERY.TXT 
hc7.exe
diskimagemounter.exe

Расположения:
C:\RECOVERY\RECOVERY.TXT и во всех папках с зашифрованными файлами. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: m4zm0v@keemail.me
BTC: 1JFjQ8JA6d5QYVXYijUkpx2eBFTgyz77ch
1FhvGZeUDGr4a6EshsgBr1wXpgom547wCK
1FcVZiLC6w5eARhmRhtAifyrRgudG9kfJ
1PE9ryU3Zp5k42TbQPBi6YA9tURrsPr7J9
1GgzdjARzVYvaUNNL66LQfNPqCVbfFYmKM
1M4RY6Q3vXhjtvGwRBkD2bqV9HdnJ5QSBS
1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6
1NYaVPJGEFzwCzYsvp5swNTDiU2so1BvKx
14QQ9RAcAMyFQWnPTWt2JedsHYG6GUupAk
1G7sCE1rSKZh4kif6a8hLU1fSn3sxg8Yp5
1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
15aM71TGtRZRrY97vdGcDEZeJYBWZhf4FP
15PbYxKuH8KNdxzUeuXqr5VctuKQxdEPeE
19AyaPNbimiCgNbCFQ2fWCw5ArySB1SCAi
+ новые
1CoxQUgDxbxcxFuU7u3nBZRYitouNJKyZs
1ADFwZU8pR2z2CUUMNNRnczWUFkjBLybRj
14waKKzAEQbTmM1Wyfax2N1cgjJbHjhH7J
1C9veduaMxAy5nEAxBqwLqZ33ujPfeZ8z9
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  + HA >>
VirusTotal анализ >>  + VT >>  + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 декабря 2017:
Добавлена функция тестирования. 
Добавлено удаление теневых копий.
Идёт работа над новым вариантом HC9. См. вторую ссылку HA.


Обновление от 13 декабря 2017:
Пост в Твиттере >>
Расширение: .DS335
Записка: RECOVER.txt
Email: m4zn0v@keemail.me
BTC: 1C9veduaMXAy5nEAxBqwLqZ33ujPfeZ8z9
Файл: backupsvcp.exe
Результаты анализов: VT


Обновление от 28 декабря 2017:
Расширение: .QUILT
Записка: RECOVER.txt
Email: m4zn0v@keemail.me
BTC: 17XLpF9d2zT85P3PoQS2NB86G3coqJa84q
Содержание записки о выкупе:
ALL FILES WERE ENCRYPTED.
TO RESTORE, YOU MUST SEND $700 BTC FOR ONE COMPUTER
OR $3,500 FOR ENTIRE NETWORK
ADDRESS: 17XLpF9d2zT85P3PoQS2NB86G3coqJa84q
BEFORE PAYMENT SENT EMAIL m4zn0v@keemail.me
ALONG WITH YOUR IDENTITY:
AND A SAMPLE FILE AS PROOF OF DECRYPT
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK
Топик на форуме >>

Обновление от 9 января 2018:
Условное название: HC9 Ransomware
Расширение: .PLANETARY
Записка: recover_your_fies.txt
Email: m4rk0v@tutanota.de
Содержание записки:
ALL FILES ARE ENCRYPTED. 
TO RESTORE, YOU MUST SEND $700 EQUIVALENT FOR ONE COMPUTER
OR $5,000 FOR ALL NETWORK
PAYMENTS ACCEPTED VIA BITCOIN, MONERO AND ETHEREUM
BTC ADDRESS: [bitcoin_address]
MONERO (XMR) ADDRESS: [monero_address]
CONTACT US WHEN ETHEREUM PAYMENT INFORMATION
BEFORE PAYMENT SENT EMAIL m4rk0v@tutanota.de
ALONG WITH YOUR IDENTITY: [base64_encoded_computer_name]
INCLUDE SAMPLE ENCRYPTED FILE FOR PROOF OF DECRYPT
NOT TO SHUT OFF YOUR COMPUTER, UNLESS IT WILL BREAK
Перевод записки на русский язык:
Все файлы зашифрованы.
Чтобы восстановить, вы должны отправить эквивалент 700$ США за один компьютер
или $5000 за всю сеть
Платежи принимаются через Биткоин, Monero и Ethereum
BTC-адрес: [биткойн_адрес]
Monero-адрес (XMR): [monero_адрес]
Свяжитесь с нами, если нужна информация о платеже Ethereum
Перед оплатой отправьте email m4rk0v@tutanota.de
Вместе с вашей идентификацией: [base64_encoded_computer_name]
Включите образец зашифрованного файла для подтверждения расшифровки
Не отключайте компьютер, если он не сломается
Статья на BC >>




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую изучить статью по этой ссылке >>
🔐
После восстановления своих ключей таким образом, нужно 
запустить hc6Decrypter, ввести ключ и дешифровать файлы.
 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as hc7)
 Write-up, Topic of Support
 * 
Added later:
Write-up on BC (December 7, 2017)
Write-up on yrz.io (December 7, 2017)
*
 Thanks: 
 victims in the topics of support
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton