Если вы не видите здесь изображений, то используйте VPN.

среда, 31 января 2018 г.

MindLost

MindLost Ransomware

Aliases: DeeRansomware, Paggalangrypt

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 200$ через кредитную / дебетовую карту, чтобы вернуть файлы. Оригинальное название: MindLost и Encryptor. На файле написано: Encryptor.exe и DeeRansomware.exe.

Обнаружения:  
DrWeb -> Trojan.Encoder.24412
BitDefender -> Trojan.Autoruns.GenericKD.41891924
ALYac -> Trojan.Ransom.MindLost
ESET-NOD32 -> A Variant Of MSIL/Filecoder.LL
Kaspersky -> Trojan.Win32.Agent.qwfqbk
Microsoft -> Ransom:MSIL/Paggalangrypt.A!rsm
Symantec -> Trojan.Gen.2
TrendMicro -> Ransom_MINDLOST.CNO

© Генеалогия: семейство Paggalangrypt > MindLost

К зашифрованным файлам добавляется расширение .enc

Обнаружение этого крипто-вымогателя пришлось на середину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Запиской с требованием выкупа выступает изображение, загружаемое через онлайн-сервис imgbb.com


Содержание текста иски о выкупе:
Don't Lose Your Mind But All Of Files Have Been Encrypted
Now it's not too late, you can still get them back and go back to your life. All you have to do is go to xxxx://mindlost.azurewebsites.net and pay 200$ and all of yor files will be available to you again. 
When paying (and you will) enter your computer"s ID. You can find your computer"s ID in a file called ID.txt in your Desktop filder. Afterwards enter your credit card information to complete the payment. 
Now you can also purchase an insurance for an extra 50$. This means you will never be attacked by us again. This is strongly advised unless you want to go through all this again. 
When you finish paying just go to your Desktop folder, run Decrypter.exe and all of your files will be safety decrypted and available to you again. 
Q: What does it mean that all of my files have been encrypted?
A: All of your files are safe and can be restired. They are simply not accessible to you unless you have the key to decrypt them which we will only provide if you pay us. Also don"t bother trying to break the encryption it's not possible. 
For more information you can go to xxxxs://en.wikipedia.org/wiki/Advanced_Encryption_Standard or at xxxx://mindlost.azurewebsites.net

Перевод текста на русский язык:
Не теряйте разум, но все файлы зашифрованы
Еще не поздно, вы всё равно можете вернуть их и вернуться к своей жизни. Всего лишь нужно перейти на xxxx://mindlost.azurewebsites.net и заплатить 200$, и все ваши файлы вернутся к вам.
При оплате (и вы захотите) введите свой ID компьютера. Найти ID вашего компьютера можно в файле ID.txt на вашем рабочем столе. Затем введите данные своей кредитной карты для завершения платежа.
Сейчас вы можете также приобрести страховку за еще 50 $. Это значит, что вы больше никогда не будете атакованы нами. Это очень рекомендуется, если не хотите повторить все это снова.
Когда вы заплатите, просто перейдите на Рабочий стол, запустите Decrypter.exe и все ваши файлы дешифруются и будут доступны для вас.
Вопрос: Что значит, что все мои файлы были зашифрованы?
Ответ: Все ваши файлы в безопасности и могут быть восстановлены. Они просто недоступны вам, если у вас нет ключа для их расшифровки, который мы дадим вам, когда заплатите нам. И не пытайтесь сломать шифрование, это невозможно.
Для информации можете перейти на xxxxs://en.wikipedia.org/wiki/Advanced_Encryption_Standard или xxxx://mindlost.azurewebsites.net



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ MindLost прописывается в Автозагрузку системы, чтобы работать и после перезагрузки ПК. 

➤ MindLost шифрует файлы и перенаправляет пользователей на сайт MindLost, чтобы заплатить выкуп через кредитную / дебетовую карту.

➤ MindLost использует онлайн-сервис xxxx://imgbb.com/ для бесплатной загрузки изображений с требованиями выкупа.

Список файловых расширений, подвергающихся шифрованию:
.c, .jpg, .mp3, .mp4, .pdf, .png, .py, .txt
Это документы PDF, фотографии, музыка, видео и пр.

Шифровальщик пропускает файлы в следующих директориях:
Windows
Program Files
Program Files (x86)

Файлы, связанные с этим Ransomware:
Encryptor.exe
Decrypter.exe
ID.txt
wallpaper.bmp
<random>.exe
3944a5cef4ba7955496e1e94a658bbnalysis_subject.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Users\Johnson\AppData\Local\Temp\3944a5cef4ba7955496e1e94a658bbnalysis_subject.exe

Записи реестра, связанные с этим Ransomware:
HKU\S-1-5-21-3712457824-2419000099-45725732-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN   "WindowsEnc"
См. ниже результаты анализов.

Мьютекс:
Global\CLR_PerfMon_WrapMutex

Сетевые подключения и связи:
xxxx://mindlost.azurewebsites.net
xxxx://imgbb.com/
xxxx://image.ibb.co/kO6xZ6/insane_uriel_by_urielstock_1.jpg - с любой цифрой
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >>  VT>>
Intezer анализ >>  IA>>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, BleepingComputer
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles. 

пятница, 26 января 2018 г.

GandCrab

GandCrab Ransomware

GDCB Ransomware

(шифровальщик-вымогатель, RaaS) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее для пострадавших из РоссииБеларусиКазахстана, Украины >>>



Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA-2048 для ключей, а затем требует выкуп в 1-3 Dash (крипто-валюта), чтобы купить у вымогателей GandCrab Decryptor и вернуть файлы. Оригинальное название: GandCrab. На файле написано: GandCrab.exe. Разработчики: скрываются под никами kdabjnrg, GandCrab, крабы. Есть сведения, что среди распространителей шифровальщика есть знающие русский язык, действующие из Украины и РумынииФилиалы могут быть и в других странах. 

Обнаружения:
DrWeb -> Trojan.Encoder.24386
BitDefender -> Trojan.GenericKD.3004295
Kaspersky -> Trojan.Win32.Jorik.sbl
Symantec -> Ransom.GandCrab
TrendMicro -> Ransom_GANDCRAB.A

© Генеалогия: GandCrab > GandCrab-2GandCrab-3 > GandCrab-4 > GandCrab-5 > ...
Изображение не принадлежит шифровальщику (это логотип статьи)

К зашифрованным файлам добавляется расширение .GDCB 

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В первые дни распространения наибольшее количество пострадавших было в Южной Корее. Позже добавились пострадавшие из Бразилии, США, Индии, Индонезии, Пакистана и других стран. Спустя полтора месяца в числе стран с наибольшим количеством пострадавших: США (48%), Великобритания, Финляндия, Израиль (по 5%), Австралия (4%), Канада, Норвегия, Швеция (по 3%) и другие в меньшей степени. 

Записка с требованием выкупа называется: GDCB-DECRYPT.txt

Содержание записки о выкупе:
---= GANDCRAB =---
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB 
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser - xxxxs://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: xxxx://gdcbghvjyqy7jclk.onion/6361f798c4ba3***
5. Follow the instructions on this page
If Tor/Tor browser is locked in your country or you can not install it, open one of the following links in your regular browser:
1. xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3***
2. xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3***
3. xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3***
4. xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3***
5. xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3***
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
DANGEROUS!
Do not try to modify files or use your own private key - this will result in the loss of your data forever!

Перевод записки на русский язык:
---= GANDCRAB =---
Внимание!
Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .GDCB
Единственный способ восстановления файлов - купить закрытый ключ. Это на нашем сервере, и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытой сети TOR. Вы можете добраться туда следующими способами:
1. Загрузите Tor-браузер - xxxxs: //www.torproject.org/
2. Установите Tor-браузер
3. Откройте Tor-браузер
4. Откройте ссылку в Tor-браузере: xxxx://gdcbghvjyqy7jclk.onion/6361f798c4ba3***
5. Следуйте инструкциям на этой странице
Если браузер Tor / Tor-браузер заблокирован в вашей стране или вы не можете его установить, откройте одну из следующих ссылок в вашем обычном браузере:
1. xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3***
2. xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3***
3. xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3***
4. xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3***
5. xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3***
На нашей странице вы увидите инструкции по оплате и получите возможность дешифровать 1 файл бесплатно.
ОПАСНО!
Не пытайтесь изменять файлы или использовать свой закрытый ключ - это приведет к потере ваших данных!


Информация также находится на Tor-сайте вымогателей. Они обещают по истечении отведенного для выкупа срока удвоить сумму выкупа. 
 Скриншоты с Tor-сайта вымогателей

По всей видимости это первый крипто-вымогатель, который требует выкуп в крипто-валюте Dash. Судя по скриншотам, Dash за день даже подрос. 



Технические детали

Распространяется через два набора эксплойтов: RIG EK и GrandSoft EK. Используется фальшивое обновление шрифтов (Font Update). Также распространяется как RaaS на форумах кибер-андеграунда, в том числе в Рунете. Может также начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов, торрент-файлов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Это изображение из ресурсов шифровальщика. было представлено исследователем. 

➤ Детектируемые языки крипто-вымогателя: английский и еврейский. 

О чём это говорит? 
Тут могут быть разные варианты. 

➤ 1. Распространение на подпольных форумах как RaaS и по партнерской программе. Запрещено запускать и работать в странах СНГ: Армения, Азербайджан, Беларусь, Грузия, Кыргызстан, Казахстан, Молдова, Россия, Таджикистан, Туркменистан, Украина, Узбекистан (краткий код стран - AM, AZ, BY, GE, KG, KZ, MD, RU, TJ, TM, UA, UZ).

➤ 2. Распространение через спам-рассылки с вредоносным вложением (PDF.EXE, DOC.JS, DOCM) и загрузками вредоносного содержимого с определённых сайтов. Для запуска скриптов используется технология PowerShell из набора Windows.
- Пример темы письма: Receipt Feb-078122
- Пример вложения: Feb01221812.pdf

➤ GandCrab использует сервис определения IP-адреса атакуемого компьютера (whatismyipaddress.com), чтобы атаковать только ПК, находящиеся в Южной Корее или Западной Европе. 

➤ Разработчики GandCrab используют DNS-сервер NameCoin, т.к. это затрудняет правоохранительным органам отслеживание владельца домена и удаление доменов.

➤ GandCrab проверяет наличие в системе exe-файлов антивирусов от следующих производителей: Avast, Avira, Comodo, ESET, F-Secure, Kaspersky, McAfee, Microsoft, Norton/Symantec, Panda, Trend Micro:

 При первом запуске GandCrab попытается подключиться к C&C-серверу вымогателей, размещенному на одном из доменов Namecoin.
При запросе адресов следующих доменов, используется команда nslookup [insert domain] a.dnspod.com, которая запрашивает сервер a.dnspod.com, поддерживающий TLD.bit (иначе говоря, домен верхнего уровня .BIT), для одного из доменов ниже:
  bleepingcomputer.bit
  nomoreransom.bit
  esetnod32.bit
  emsisoft.bit
  gandcrab.bit

 Если компьютер жертвы не может подключиться к C&C-серверу, то шифровальщик GandCrab не будет шифровать файлы, но он будет продолжать работу в фоновом режиме, пытаясь получить IP-адрес для C&C-сервера и подключиться к нему. Как только он сможет разрешить домен, он подключится к IP-адресу C&C-сервера. 

 В настоящее время неизвестно, какие данные отправляются и извлекаются, но C&C-сервер, скорее всего, отправляет открытый ключ, который используется для шифрования файлов. Зато известно, какую информацию GandCrab собирает: имя пользователя, версия ОС, системный язык, наличие антивируса, тип и архитектура процессора, активные и используемые диски (по-буквенно) и прочее.  

 Во время этого процесса, GandCrab также будет подключаться к ipv4bot.whatismyipaddress.com для определения общедоступного IP-адреса жертвы.

➤ Перед шифрованием GandCrab завершает работу множества процессов, относящихся к системе, офисным приложениям, базам данных и прочих. 
Это закроет любые дескрипторы файлов, открытые этими процессами, чтобы их можно было правильно зашифровать.
Вот список процессов в текстовом виде и на картинке: 
msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip (456 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

GandCrab пропускает файлы, полный путь которых содержит следующие строки:
ProgramData, Program Files, Tor Browser, Ransomware, All Users, Local Settings, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, GDCB-DECRYPT.txt, .sql

Файлы, связанные с этим Ransomware:
GDCB-DECRYPT.txt
GandCrab.exe
nslookup.exe
apaluj.exe
kpmbri.exe
<random>.exe
\Crypto\
Всего отбрасывает 1976 различных файлов.
GandCrab_Decryptor.exe - дешифровщик от вымогателей
private.gandcrab - файл с закрытым ключом от вымогателей
Скриншот декриптора от вымогателей

Расположения:
\Desktop\ -> GDCB-DECRYPT.txt
\User_folders\ -> GDCB-DECRYPT.txt
\System Volume Information\ -> GDCB-DECRYPT.txt
\Temp\GandCrab.exe
%APPDATA%\Microsoft\apaluj.exe
%Appdata%\Microsoft\Crypto\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://gandcrab.bit  (78.155.206.6) - C2
xxxx://a.dnspod.com (112.90.141.215) - DNS-сервер
xxxx://ipv4bot.whatismyipaddress.com (66.171.248.178 США)
xxxx://66.171.248.178/ 
xxxx://92.53.66.11/***
xxxx://bot.whatismyipaddress.com/
---
xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3647
---
xxxx://gdcbghvjyqy7jclk.onion/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.casa/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.guide/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.plus/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.rip/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.top/6c6a47a5c33fdc78
---
xxx://sorinnohoun.com/*** - для загрузки вредоносного содержимого (PowerShell-скрипт)
См. ниже результаты анализов.

Результаты анализов:
ANY.RUN анализ и обзор >>
ANY.RUN анализ и обзор декриптора >>
Гибридный анализ >> еще >>
VirusTotal анализ >>
Broad анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.





=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
   
GandCrab Ransomware
GandCrab RaaS Ransomware
GandCrab-2 Ransomware
GandCrab-3 Ransomware
GandCrab-4 Ransomware
GandCrab-5 Ransomware




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 31 января 2018:
Пост в Твиттере >>
Файл: Font_update.exe
Результаты анализов: VT + HA
ВНИМАНИЕ!!! GandCrab использует трюк с поддельным установщиком шрифтов (шрифт HoeflerText), который загружается со специально подготовленных сайтов. Установка вредоноса под видом шрифта — это давний излюбленный приём злоумышленников. Нельзя принимать на компьютер шрифты с ехе-расширениями и другими нетипичными для шрифтов. И даже в типичных случаях, если вы загрузили внешне легитимный файл шрифта с какого-то сайта, необходима тщательная проверка файла своим антивирусом и на сайтах онлайн-анализа. Только при 100% положительном результате используйте шрифт на своем компьютере. 
Трюк со шрифтом HoeflerText ранее использовался во вредоносной кампании Spora Ransomware и некоторых других. 


Обновление от 5 февраля:
Пост в Твиттере >>
dns.soprodns.ru - новый DNS-сервер
nomoreransom.coin - новый C2-сервер
Результаты анализов: AR + VT

Обновление от 7 февраля:
К распространению добавился malspam (спам-рассылки с вредоносами). 
Письма замаскированы под платежные квитанции с темами типа Receipt Feb-078122. 
Если получатель откроет вложение без предварительной проверки антивирусной программой, то по содержащейся в нём ссылке с сайта butcaketforthen.com сразу загружается DOC-файл с макросом, который запускает PowerShell-скрипт, устанавливающий GandCrab с сайта sorinnohoun.com
Статья об этом обновлении на BleepingComputer.com >>
Файл: nslookup.exe
Результаты анализов: VB + VT + HA


Обновление от 21 февраля 2018:
GandCrab версия 2.3r
Пост в Твиттере >>
Результаты анализов: VT


Обновление от 23 февраля 2018:
GandCrab версия 2.3.1r
Пост в Твиттере >>
Результаты анализов: VT + Cape

Обновление от 27 февраля 2018:
GandCrab версия 2.3.2r
Пост в Твиттере >>
Результаты анализов: VB


Обновление от 1 марта:
Заявление русскоязычных распространителей, которые называют себя — крабы. 


=== 2019 === 

Обновление от 1 июня 2019. GandCrab закрылся!
Представитель GandCrab на форуме, где они изначально продвигали свое вредоносное решение среди таких вымогателей, хакеров и прочих представителей кибер-криминала, сообщил о закрытии проекта GandCrab. При этом он заявил, что вместе с закрытием вымогательского проекта GandCrab они намерены удалить все ключи дешифрования, что исключить возможность восстановления файлов на ПК пострадавших. Таким образом они или хотят побудить пострадавших заплатить неуплаченные ранее выкупы, или же в самом деле планируют уничтожить ключи. 
В отличие от них, как известно, разработчики других шифровальщиков (TeslaCrypt, Crysis и пр.) в своё время публиковали оставшиеся ключи в открытый доступ, чтобы жертвы могли восстановить свои данные, пусть и не сами, а с помощью разработчиков дешифровщиков и специалистов антивирусных компаний.

За последний месяц распространения (май 2019) у GandCrab наблюдалось стойкое снижение вредоносной и клиентской активности. Потому его закрытие было предрешено. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать GandCrab Decrypter для дешифровки >>
В первую очередь прочтите инструкцию и рекомендации.
Самое главное — не сделать себе хуже, чем уже есть.
 Read to links: 
 Tweet on Twitter + Tw + Tw + Tw + Tw + Tw
 ID Ransomware (ID as GandCrab)
 Write-up (add. January 29, 2018), Topic of Support
 🎥 Video review
 - Видеообзор сделан CyberSecurity GrujaRS
 Thanks: 
 AnyRun, GrujaRS, David Montenegro‏ 
 MalwareHunterTeam, Marcelo Rivero
 Andrew Ivanov and my volunteers
 Lawrence Abrams, Marcelo Rivero
 and others...

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

воскресенье, 21 января 2018 г.

RansomUserLocker

RansomUserLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: RansomUserLocker. На файле написано: RansomUserLocker.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Korean Talk > RansomUserLocker

К зашифрованным файлам добавляется расширение .RansomUserLocker

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на корейскоязычных пользователей, что не мешает распространять его по всему миру. Вероятно, пока находится в разработке. 

Записка с требованием выкупа называется: Read_Me.txt
Запиской с требованием выкупа выступает экран блокировки.

Содержание текста о выкупе:
Your ID DEA7-F40B-5629-2EF5-0EDA-C2A0-8990-0CF5-56DT
*** текст на корейском ***

Перевод текста на русский язык (примерный перевод автора блога):
Your ID DEA7-F40B-5629-2EF5-0EDA-C2A0-8990-0CF5-56DT
1. Что случилось с вашим компьютером?
Ваши личные файлы, включая ваши фото, документы, видео и другие важные файлы были зашифрованы с RSA-4096, сильным алгоритмом шифрования. Алгоритм RSA генерирует открытый и закрытый ключи для вашего компьютера. Открытый ключ был использован для шифрования файлов. Закрытый ключ нужен, чтобы расшифровать и восстановить файлы. Ваш закрытый ключ хранится на нашем секретном сервере. Никто не сможет восстановить ваши файлы без этого ключа.
2. Как расшифровать мои файлы?
Для расшифровки и восстановления файлов вы должны заплатить за секретный ключ и дешифровку. У вас есть только 72 часа чтобы сделать оплату. Если оплата не будет сделана за это время, то ваш закрытый ключ будет автоматически удалён с нашего сервера. Не тратьте своё время, т.к. нет никакого другого пути, чтобы восстановить ваши файлы, кроме оплаты выкупа. 
3. Как заплатить за мой личный ключ?
Выполните следующие шаги для оплаты и восстановления файлов:
1). Оплата возможна только в биткоинах. Поэтому, пожалуйста, купите 1 BTC, а затем отправьте по указанному ниже адресу. 
2). Пришлите ваш ID (Personal ID) на наш официальный email-адрес ниже: 
Official Mail: owerhacker@hotmail.com
Обязательно проверьте свою личную информацию. Пожалуйста, воздержитесь от оскорблений и отправьте мне email в тот же день.
Ваш персональный ID указан в заголовке этого экрана. 
3). Вы получите дешифратор и закрытый ключ для восстановления всех файлов за один рабочий день.
4. Как найти и купить биткоины?
Приобретите и отправьте 1 биткоин на наш биткоин-кошелек: 1HB5XMLmzFVj8ALj6mfBsbitRoD4miY36v
1) ***
2) ***
3) ***
4) Пожалуйста, купите биткоины и отправьте ваш ID по почте на наш официальный email-адрес.
Мы не хорошие люди. Но мы должны держаться в той области, где мы это делаем.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read_Me.txt
RansomUserLocker.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: owerhacker@hotmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams‏, BleepingComputer
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 19 января 2018 г.

Instalador, QwertyCrypt

Instalador Ransomware

QwertyCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: Instalador. Название проекта: Instalador.pdb. На файле написано: Instalador.exe. Разработчик: Rodolfo / Team Anonymous Brazil.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Instalador (QwertyCrypt)

К зашифрованным файлам добавляется расширение .qwerty

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на португалооязычных и бразильских пользователей, что не мешает распространять его по всему миру. Вероятно, пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки с заголовком Aguarde..., которому предшествует экран с просьбой подождать. В это время файлы шифруются. 

Содержание записки о выкупе:
ATENÇÃO! Todos os seus arquivos foram seqüestrados!
O que aconteceu com o meu computador?
Seu computador sofreu um seqüestro de dados, os seus arquivos importantes (documentos, planilhas, videos. anotações e etc), estão agora protegido com uma criptografia altamente complexa e segura.
Você não poderá mais acessar os seus arquivos!
Como faço para desbloquear?
Você deverá pagar a quantia de 0.05000000 Bitcoin para o endereço 15tGsTDLMztrxP1kCoKPBTaBgv1xCKRtkY
Depois de pago iremos enviar a sua senha e você poderá desbloquear rapidamente seus arquivos!
Como entrar em contato?
Através do nosso telegram iremos enviar a senha do seu computador!
Telegram: http://t.me/@rodolfoanubis
Muito obrigado aguardamos o contato!

Перевод записки на русский язык:
ВНИМАНИЕ! Все ваши файлы были захвачены!
Что случилось с моим компьютером?
Ваш компьютер взломан, ваши важные файлы (документы, таблицы, видео, заметки и т.д.), теперь защищены очень сложным и безопасным шифрованием.
Вы больше не сможете получить доступ к своим файлам!
Как разблокировать?
Вы должны заплатить сумму в 0.05000000 биткоина на адресу 15tGsTDLMztrxP1kCoKPBTaBgv1xCKRtkY
После оплаты мы пришлём ваш пароль, и вы сможете быстро разблокировать свои файлы!
Как связаться?
Через наш Telegram мы отправим пароль вашего компьютера!
Telegram: http://t.me/@rodolfoanubis
Большое спасибо за контакт!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Instalador.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: http://t.me/@rodolfoanubis
BTC: 15tGsTDLMztrxP1kCoKPBTaBgv1xCKRtkY
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать Hidden Tear Decrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as QwertyCrypt)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Leo, GrujaRS
 GrujaRS
 Michael Gillespie
 Andrew Ivanov
* 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *