суббота, 10 марта 2018 г.


BlackRuby-2 Ransomware


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в BTC, чтобы вернуть файлы. Оригинальное название: BlackRuby. Фальш-имя: Microsoft Windows Defender. Фальш-копирайт: Microsoft all right reserved.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: InfiniteTear (modified) > BlackRuby > BlackRuby-2
Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение .BlackRuby-2

Фактически используется шаблон из кода: Encrypted_%random string%.BlackRuby2

Примеры зашифрованных файлов: 

Активность этого крипто-вымогателя пришлась на первую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW-TO-DECRYPT-FILES.txt 

Содержание записки о выкупе:
=== Identification Key ===
=== Identification Key ===
[Can not access your files?]
Congratulations, you are now part of our family #BlackRuby Ransomware. The range of this family is wider and bigger every day.
Our hosts welcome our presence because we will give them a scant souvenir from the heart of Earth.
This time, we are guest with a new souvenir called "Black Ruby". A ruby in black, different, beautiful, and brilliant, which has been bothered to extract those years and you must also endure this hard work to keep it. If you do not have the patience of this difficulty or you hate some of this precious stone, we are willing to receive the price years of mining and finding rubies for your relief and other people of the world who are guests of the black ruby.
So let's talk a little bit with you without a metaphor and literary terms to understand the importance of the subject.
It does not matter if you're a small business or you manage a large organization, no matter whether you are a regular user or a committed employee, it's important that you have a black ruby and to get rid of it, you need to get back to previous situation and we need a next step.
The breadth of this family is not supposed to stop, because we have enough knowledge and you also trust our knowledge. 
We are always your backers and guardian of your information at this multi-day banquet and be sure that no one in the world can take it from you except for us who extracts this precious stone.
We need a two-sided cooperation in developing cybersecurity knowledge. The background to this cooperation is a mutual trust, which will result in peace and tranquility. you must pay us worth of Bitcoins for restore your system to the previous state and you are free to choose to stay in this situation or return to the normal.
In the end, we have to mention a few things about the second version. Black Ruby Despite the early and false judgments of the news media about the false reports of fraudulent and slander about not sending decryptor to victims, the popularity of popular sites to attract visitors with the title "Black Ruby Removal", as well as blocking the allegedly secure service of Proton Mail that it was only our only email and the uncertainty of dear customers, is still standing and more powerful than before with the second version came to the field.
In this version, with a new approach and a small change, we are a guest of new hosts and also support the first version. our hosts are patient, slightly angry and 100% trustworthy. They know that the key is in our hands and titles like "Removing Black Ruby on the System", which are covered on most sites, is a big lie to advertising purposes. We have been working out deep earth for the extraction of black ruby and we have partnered with you to sympathize with us in this difficulty. We know that you are the only good protector of the black ruby and our only honored miner.
Do not forget that your opportunity is limited. From these limits you can create golden situations. Be sure we will help you in this way and to know that having a black ruby does not always mean riches. You and your system are poor, poor knowledge of cybersecurity and lack of security on your system! 
1. Copy "Identification Key". 
2. Send this key with two encrypted files (less than 5 MB) for trust us to email address \"%EMAIL%\" or on the Tor network \"%EMAIL2%\" (register in the torbox3uiot6wchz.onion and then send your request to our email address) 
3. We decrypt your two files and send them to your email.
4. After ensuring the integrity of the files, you must pay us with bitcoin and send transaction code to our email (get our bitcoin address by email).
5. You get "Black Ruby Decryptor" Along with the private key of your system.
6. Everything returns to the normal and your files will be released.
[What is encryption?]
Encryption is a reversible modification of information for security reasons but providing full access to it for authorised users. To become an authorised user and keep the modification absolutely reversible (in other words to have a possibility to decrypt your files) you should have an "Personal Identification Key". But not only it. It is required also to have the special decryption software (in your case "Black Ruby Decryptor" software) for safe and complete decryption of all your files and data.
[Everything is clear for me but what should I do?]
The first step is reading these instructions to the end. Your files have been encrypted with the "Black Ruby Ransomware" software; the instructions ("HOW-TO-DECRYPT-FILES.txt") in the folders with your encrypted files are not viruses, they will help you. After reading this text the most part of people start searching in the Internet the words the "Black Ruby Ransomware" where they find a lot of ideas, recommendation and instructions. It is necessary to realise that we are the ones who closed the lock on your files and we are the only ones who have this secret key to open them.
[Have you got advice?]
[*** Any attempts to get back you files with the third-party tools can be fatal for your encrypted files ***] The most part of the tried-party software change data with the encrypted files to restore it but this cases damage to the files. Finally it will be impossible to decrypt your files. When you make a puzzle but some items are lost, broken or not put in its place - the puzzle items will never match, the same way the third-party software will ruin your files completely and irreversibly. You should realise that any intervention of the third-party software to restore files encrypted with the "Black Ruby Ransomware" software may be fatal for your files.
If you look through this text in the Internet and realise that something is wrong with your files but you do not have any instructions to restore your files, please contact your antivirus support.

Перевод записки на русский язык:
=== Идентификационный ключ ===
=== Идентификационный ключ ===
[Нет доступа к вашим файлам?]
Поздравляем, теперь вы часть нашей семьи #BlackRuby Ransomware. Круг этого семейства с каждым днем ​​становится все шире и шире.
Наши хозяева приветствуют наше присутствие, потому что мы даём им скромный сувенир из сердца Земли.
На этот раз мы предлагаем новый сувенир, названный "Черный рубин". Рубин в чёрном, отличный, красивый и блестящий, который был потревожен извлечением, и вы также должны перенести эту тяжелую работу, чтобы сохранить её. Если вы не можете терпеть эти трудности или вы ненавидите этот драгоценный камень, мы готовы получить цену за годы добычи и поиска рубинов для помощи вам и другим людям мира, которые являются гостями чёрного рубина.
Поэтому давайте немного поговорим с вами без метафоры и литературных терминов, чтобы понять важность темы.
Неважно, являетесь ли вы малым бизнесом или управляете крупной организацией, независимо от того, являетесь ли вы обычным пользователем или преданным сотрудником, важно, чтобы у вас был чёрный рубин и чтобы избавиться от него, вам нужно вернуться к предыдущей ситуации, а нам нужен следующий шаг.
Расширение этой семьи не должно останавливаться, потому что у нас достаточно знаний, а вы также доверяете нашим знаниям.
Мы всегда являемся вашими сторонниками и хранителями вашей информации на этом многодневном банкете и будьте уверены, что никто в мире не сможет взять это у вас, кроме тех, кто извлекает этот драгоценный камень.
Нам необходимо двустороннее сотрудничество в развитии знаний в области кибербезопасности. Основой этого сотрудничества является взаимное доверие, которое приведет к миру и спокойствию. Вы должны заплатить нам в биткоинах за восстановление вашей системы до предыдущего состояния, и вы можете выбрать, чтобы остаться в этой ситуации или вернуться к нормальной жизни.
В конце мы должны упомянуть несколько вещей о второй версии. Black Ruby несмотря на ранние и ложные суждения новостных СМИ о ложных сообщениях о мошенничестве и клевете о том, что жертвам не отправляют дешифратор, популярность популярных сайтов для привлечения посетителей с названием "Black Ruby Removal", а также якобы блокирование безопасного сервиса Proton Mail, что это был наш единственный email и неопределенность уважаемых клиентов, по-прежнему стоит и сильнее, чем раньше, когда вторая версия появилась на поле.
В этой версии, с новым подходом и небольшим изменением, мы являемся гостями у новых хозяев, а также поддерживаем первую версию. Наши хозяева терпеливы, слегка сердиты и на 100% заслуживают доверия. Они знают, что ключ в наших руках и такие названия, как "Removing Black Ruby on the System", которыми заполнены большинство сайтов, являются большой ложью в рекламных целях. Мы работаем глубоко под землей для добычи чёрного рубина, и мы сотрудничаем с вами, чтобы вы сочувствовали нам в этом затруднении. Мы знаем, что вы единственный хороший защитник чёрного рубина и наш единственный заслуженный шахтёр.
Не забывайте, что ваша возможность ограничена. Из этих пределов вы можете создавать золотые ситуации. Будьте уверены, что мы поможем вам таким образом и знайте, что наличие чёрного рубина не всегда означает богатство. Вы и ваша система бедные, плохое знание кибербезопасности и отсутствие безопасности в вашей системе!
1. Скопируйте "Идентификационный ключ".
2. Пришлите этот ключ с двумя зашифрованными файлами (менее 5 МБ), чтобы доверять нам на email-адрес "%EMAIL%" или в сети Tor "%EMAIL2%" (зарегистрируйтесь в torbox3uiot6wchz.onion, а затем отправьте ваш запрос на наш email-адрес)
3. Мы расшифруем ваши два файла и отправим их на ваш email-адрес.
4. После проверки целостности файлов вы должны заплатить нам биткоины и отправить код транзакции на наш email-адрес (получите наш биткоин-адрес по email).
5. Вы получаете "Black Ruby Decryptor" вместе с секретным ключом вашей системы.
6. Все вернётся в нормальное состояние, а ваши файлы будут выпущены.
[Что такое шифрование?]
Шифрование - это обратимая модификация информации в целях безопасности, но обеспечивающая полный доступ к ней авторизованным пользователям. Чтобы стать авторизованным пользователем и сохранить модификацию абсолютно обратимой (другими словами, чтобы иметь возможность расшифровать ваши файлы), вы должны иметь "Личный идентификационный ключ". Но не только это. Также требуется специальная программа для дешифрования (в вашем случае программа Black Ruby Decryptor) для безопасного и полного дешифрования всех ваших файлов и данных.
[Всё мне ясно, но что мне делать?]
Первый шаг - до конца прочитать эти инструкции. Ваши файлы были зашифрованы программой "Black Ruby Ransomware"; инструкции ("HOW-TO-DECRYPT-FILES.txt") в папках с зашифрованными файлами не являются вирусами, они вам помогут. После прочтения этого текста большая часть людей начинает поиск в Интернете слов "Black Ruby Ransomware", где они находят много идей, рекомендаций и инструкций. Необходимо понять, что мы закрыли блокировку ваших файлов, и мы единственные, у кого есть этот секретный ключ, чтобы открыть их. 
[У вас есть мнение?]
[*** Любые попытки вернуть файлы с помощью сторонних инструментов могут быть фатальными для ваших зашифрованных файлов ***] Большая часть файлов сторонних программ изменяет данные с зашифрованными файлами для его восстановления, но это приводит к повреждению файлов. В итоге будет невозможно расшифровать ваши файлы. Когда вы собираете пазлы, но некоторые предметы теряются, ломаются или не ставятся на место - элементы пазлы никогда не совпадут, так же, как сторонняя программа разрушит ваши файлы полностью и необратимо. Вы должны понимать, что любое вмешательство сторонней программы для восстановления файлов, зашифрованных программой Black Ruby Ransomware, может быть фатальным для ваших файлов.
Если вы видите этот текст в Интернете и понимаете, что что-то не так с вашими файлами, но у вас нет никаких инструкций по восстановлению ваших файлов, обратитесь в свою антивирусную поддержку.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Использует сервис freegeoip.net/json/ для определения местонахождения ПК пользователя, вплоть до города. 

➤ В список BlackRuby-2, по сравнению с первой версией, добавлены страны: Афганистан (AF), Армения (AM), Азербайджан (AZ), Иран (IR), (Ирак) IQ, Пакистан (PK), Турция (TR), Туркменистан (TM). Если компьютер по IP-адресу относится к одной из этих стран, то файлы не шифруются. 

➤ Проверяет наличие в системе антивирусов: Avast, Avira, COMODO, Kaspersky Lab, McAfee, Symantec

➤ Выполняет деструктивные команды:
/C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
/C Bcdedit.exe /set {default} recoveryenabled no
/C choice /C Y /N /D Y /T 3 & Del
/C start
/C vssadmin.exe delete shadows /all /Quiet
/C wevtutil.exe cl Application
/C wevtutil.exe cl Security
/C wevtutil.exe cl System
/C WMIC.exe shadowcopy delete

➤ Очищает журналы Windows, приложений, событий безопасности:
"/C wevtutil.exe cl System"
"/C wevtutil.exe cl Application",
"/C wevtutil.exe cl Security",
Расшифровка: "cl" - "clear-log" - очистка логов

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Black Ruby Ransomware (Windows Defender.exe, Defender.exe)
<random>.exe - случайное название файла
Black Ruby Decryptor

\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: torbox3uiot6wchz.onionURL: de01.supportxmr.com - Mining Pool Online
freegeoip.net/json/ - проверочный сервис 
Email: blackruby@tutanota.com
Tor-email: theblackruby@torbox3uiot6wchz.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Virusbay образец >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


Обновление от 27 марта 2018: 
BlackRuby Light
Пост в Твиттере >> + Новый твит >>
Шаблон зашифрованных файлов: Encrypted_xxxxx.BlackRubyLight
Зашифрованный файл состоит из приставки Encrypted + код символов + расширение .BlackRubyLight
Файл: Windows Defender.exe
Фальш-имя: Microsoft Windows Defender
Результаты анализов: VT

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BlackRuby)
 Write-up, Topic of Support
 Michael Gillespie
 Andrew Ivanov

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact


Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton