Если вы не видите здесь изображений, то используйте VPN.

среда, 7 марта 2018 г.

Everbe, Everbe 2.0-3.0

Everbe Ransomware

Everbe 2.0-3.0 Ransomware

Everbe: Everbe, Volcano, Embrace, PainLocker ... 

Everbe 2.0: eV3rbe, EvilLocker, HyenaLocker, Thunder, Divine, EVIL, NOT_OPEN, EverestLocker, <email>, Lightning, SeedLocker ...

Everbe 3.0: DEADMIN, SODIN, CULEX, COCKROACH ...


(семейство шифровальщиков-вымогателей, все итерации)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES (или DES) + RSA-2018 (для ключей), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: everbe. На файле написано: нет данных. Использует Crypto++. Целевые системы: Windows x64. Статус: Файлы ранних версий можно дешифровать. 

© Генеалогия: Rerosomware >> Everbe > Everbe 2.0 > Everbe 3.0

К зашифрованным файлам добавляется расширение .everbe
Фактически используется составное расширение .[everbe@airmail.cc].everbe


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !=How_recovery_files=!.txt

Содержание записки о выкупе:
Hi !
If you want restore your files write on email - everbe@airmail.cc
In the subject write - id-3003${CODE}
Do not try to recover data, it's wasting your time.
Every 7 days the price doubles.

Перевод записки на русский язык:
Привет !
Если ты хочешь вернуть свои файлы, пиши на email - everbe@airmail.cc
В теме пиши - id-3003${CODE} 
Не пробуй вернуть данные, это пустая трата твоего времени.
Каждые 7 дней цена удваивается.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ На чём основан проект вымогателя:
Путь текущего проекта: C:\everbe\Decryptor\rerosomware.pdb
Использован Rerosomware, автор-разработчик: Ricardo Roman, email: reroman4@gmail.com
Размещение ресурса: xxxxs://github.com/8noobs/rerosomware

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .jpg, .lnk, .pdf, .xls, xlsx ...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!=How_recovery_files=!.txt
<random>.exe - случайное название
msmdsrv.exe
ntdbsmgr.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: everbe@airmail.cc
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>  HA>>
𝚺  VirusTotal анализ >>  VT>> VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Rerosomware - апрель 2017 (xxxxs://github.com/8noobs/rerosomware
)

Everbe 1.0 семейство:
Everbe Ransomware - март 2018
Volcano Ransomware - март 2018
Embrace Ransomware - апрель-май 2018
PainLocker Ransomware  - май 2018

Everbe 2.0 семейство: 
eV3rbe Ransomware - июль 2018
EvilLocker Ransomware - июль 2018
HyenaLocker Ransomware - июль 2018
Thunder Ransomware - июль 2018
Divine Ransomware - август 2018
EvilLocker Ransomware - август 2018
.NOT_OPEN Ransomware - август-сентябрь 2018
Everest Ransomware - октябрь 2018
варианты с расширением .[<email>] - ноябрь 2018
варианты с расширением .[<email>].lightning - ноябрь 2018





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 13 марта 2018:
Пост в Твиттере >>
Самоназвание: Volcano Ransomware. 
Расширение: .volcano
Составное расширение: .[volcano666@tutanota.de].volcano
Email-1: volcano666@tutanota.de
Email-2: volcano666@cock.li
Записка: key.txt
Содержание записки / Contents of note:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: volcano666@tutanota.de.You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.In case of no answer in 48 hours write us to theese e-mails: volcano666@cock.li
[redacted 512 hex]

Статус: Файлы можно дешифровать.  

Обновление от 24 апреля 2018:
Пост в Твиттере >> 
Пост в Твиттере >>
Самоназвание: Embrace Ransomware. 
Статус: Файлы можно дешифровать.  
Расширение: .embrace
Составное расширение: .[embrace@airmail.cc].embrace
Email: embrace@airmail.cc
Записка: !=How_recovery_files=!.txt

➤ Содержание записки о выкупе:
Hi !
If you want restore your files write on email - embrace@airmail.cc
In the subject write - id-0521336***
Do not try to recover data, it's wasting your time.
Every 7 days the price doubles.
Результаты анализов: VT + VT + AR

Обновление от 25 мая 2018:
Посты в Твиттере: MG, MHT, GrujaRS 
🎥 Видеообзор >>
Самоназвание: Pain Locker (PainLocker). 
Статус: Файлы можно дешифровать. 
Расширение: .pain
Составное расширение: .[pain@cock.lu].pain
Email: pain@cock.lu, pain@airmail.cc
Записка: !=How_recovery_files=!.txt
➤ Примечательно, что распространители данного Ransomware решили на этот раз взять текст записки у Rapid Ransomware, а не написать свойю. Возможно, решили запутать исследователей, к тому же дали этой версии своё название Pain Locker. 
Благодаря исследователям MalwareHunterTeam и Michael Gillespie мы знаем, что этот Ransomware относится к группе Everbe по идентификации ID Ransomware.  


Обновление от 6 июля 2018:
Относится к Everbe 2.0 Ransomware. Пока не дешифруется. 
Пост в Твиттере >> + Пост в Твиттере >>
Расширение: .eV3rbe
Составное расширение: .[eV3rbe@rape.lol].eV3rbe
Целевые системы: Windows x64
Email: eV3rbe@rape.lol
Email-перенаправление: cock.li
Записка: Readme if you want restore files.txt
➤ Содержание записки: 
Hi !
If you want restore your files write on email - eV3rbe@rape.lol
In the subject write - id-XXXXXXXXXX
Do not try to recover data, it's wasting your time.
Every 7 days price doubles.
If within 24 hours we didn't answer you , write to our backup mail - eV3rbe©tuta.io .
Результаты анализов: VT + VB


Обновление от 9 июля 2018:
Относится к Everbe 2.0 Ransomware. Пока не дешифруется. 
Пост в Твиттере >>
Самоназвание: EVIL LOCKER
Расширение: .EVIL
Составное расширение: .[evil@cock.lu].EVIL
Целевые системы: Windows x64
512 ASCII hex добавляются в файл, вероятно, зашифрованный ключ.
Удаляет теневые копии файлов. Создаёт много дочерних процессов. 
Email: evil@cock.lu, evil@firemail.cc
Email-перенаправление на cock.li
Записка: !_HOW_RECOVERY_FILES_!.txt
Файл: Evil Locker.exe
Результаты анализов: VT + VB + IA + HA + VMRay
➤ Содержание записки: 
    >>>>>>>>>>>>>>>>>>>>>>>>>>>> EVIL LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<
    HELLO, DEAR FRIEND!
1.  [ ALL YOUR FILES HAVE BEEN ENCRYPTED! ]
    Your files are NOT damaged! Your files are modified only. This modification is reversible.
    The only 1 way to decrypt your files is to receive the decryption program.
2.  [ HOW TO RECOVERY FILES? ]
    To receive the decryption program write on our e-mail: evil@cock.lu or evil@firemail.cc
    And in subject write your ID:  ID-с45540
    We send you full instruction how to decrypt all your files.
3.  [ FREE DECRYPTION! ]
    Free decryption as guarantee.
    We guarantee the receipt of the decryption program after payment.
    To believe, you can give us up to 3 files that we decrypt for free.
    Files should not be important to you! (databases, backups, large excel sheets, etc.)
    >>>>>>>>>>>>>>>>>>>>>>>>>>>> EVIL LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<
-----BEGIN PUBLIC KEY-----
**********
-----END PUBLIC KEY-----


Обновление от 11 июля 2018:
Относится к Everbe 2.0 Ransomware. Пока не дешифруется. 
Пост в Твитере >>
Самоназвание: HYENA LOCKER
Расширение: .HYENA
Составное расширение: .[hyena@rape.lol].HYENA
Email: hyena@rape.lol, hyena@cock.lu
Email-перенаправление на cock.li
Записка: !_HOW_RECOVERY_FILES_!.txt


Обновление от 17 июля 2018:
Пост в Твиттере >>
Расширение: .thunder
Составное расширение: .[thunderhelp@airmail.cc].thunder
Email: thunderhelp@airmail.cc
Записка: !=How_recovery_files=!.txt


Обновление от 3 августа 2018:
Пост в Твиттере >> 
Пост в Твиттере >>
Расширение: .divine
Составное расширение: .[divine@cock.lu].divine
Пример зашифрованного файла: bw7504.zip.u6jv4mb.partial.[divine@cock.lu].divine
Записка: !=How_to_decrypt_files=!.txt
Email: divine@cock.lu, divinebackup@tuta.io
➤ Содержание записки: 
Hello ! All your files have been encrypted !
Don't worry , we can help tou to return all of your files .
If you want to know price for decryptor , write to our email - divine@cock.lu
In the subject write - id-[redacted 11 numbers]
Every 7 days price doubles.
If within 24 hours we didn't answer you , write to our backup mail - divinebackup@tuta.io .
Результаты анализов: VT + IA

Обновление от 7 августа 2018 (см. также 9 июля 2018):
Расширение: .EVIL
Самоназвание: EVIL LOCKER
Составное расширение: .[evil@cock.lu].EVIL
Email: evil@cock.lu, evillock@cock.li
➤ Содержание записки: 
>>>>>>>>>>>>>>>>>>>>>>>>>>>> EVIL LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<
HELLO, DEAR FRIEND!
1.  [ ALL YOUR FILES HAVE BEEN ENCRYPTED! ]
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the decryption program.
2.  [ HOW TO RECOVERY FILES? ]
To receive the decryption program write to email: evil@cock.lu
And in subject write your ID:  ID-7b23fb
We send you full instruction how to decrypt all your files.
If we do not respond within 24 hours, write to the email: evillock@cock.li
3.  [ FREE DECRYPTION! ]
Free decryption as guarantee.
We guarantee the receipt of the decryption program after payment.
To believe, you can give us up to 3 files that we decrypt for free.
Files should not be important to you! (databases, backups, large excel sheets, etc.)
>>>>>>>>>>>>>>>>>>>>>>>>>>>> EVIL LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<
---
Файл: rerosomware.exe
Результаты анализов: VT + HA + IA 


Обновление от 8-17 августа 2018:
Пост в Твиттере >>
Самоназвание: NOT_OPEN LOCKER
Расширение: .NOT_OPEN
Шаблон составного расширения: .[<email>].NOT_OPEN
Записка: !_HOW_RECOVERY_FILES_!.txt
Email: notopen@cock.li, tryopen@cock.li 
Результаты анализов: VT + VMR + IA
➤ Содержание записки: 
    >>>>>>>>>>>>>>>>>>>>>>>>>>>> NOT_OPEN LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<
    HELLO, DEAR FRIEND!
    1.  [ ALL YOUR FILES HAVE BEEN ENCRYPTED! ]
    Your files are NOT damaged! Your files are modified only. This modification is reversible.
    The only 1 way to decrypt your files is to receive the decryption program.
    2.  [ HOW TO RECOVERY FILES? ]
    To receive the decryption program write to email: notopen@cock.li
    And in subject write your ID:  ID-[redacted 10 hex]
    We send you full instruction how to decrypt all your files.
    If we do not respond within 24 hours, write to the email: tryopen@cock.li 
    3.  [ FREE DECRYPTION! ]
    Free decryption as guarantee.
    We guarantee the receipt of the decryption program after payment.
    To believe, you can give us up to 3 files that we decrypt for free.
    Files should not be important to you! (databases, backups, large excel sheets, etc.)
    >>>>>>>>>>>>>>>>>>>>>>>>>>>> NOT_OPEN LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<



Обновление от 26 сентября 2018:
Расширение: .NOT_OPEN
Составное расширение: .[notopen@countermail.com].NOT_OPEN
Записка: !_HOW_RECOVERY_FILES_!.txt
Email: notopen@countermail.com
Результаты анализов: VT + HA + IA

Обновление от 25 октября 2018: 
Пост в Твиттере >>
Расширение: .EVEREST
Составное расширение: .[everest@airmail.cc].EVEREST
Email: everest@airmail.cc
Xmpp: decryptors@xmpp.is
Записки: EVEREST LOCKER.txt
新建文本文档.txt
➤ Содержание записки:
>>>>>>>>>>>>>>>>>>>>>>>>>>>> EVEREST LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<
    HELLO, DEAR FRIEND!
    1.  [ ALL YOUR FILES HAVE BEEN ENCRYPTED! ]
    Your files are NOT damaged! Your files are modified only. This modification is reversible.
    The only 1 way to decrypt your files is to receive the decryption program.
    2.  [ HOW TO RECOVERY FILES? ]
    To receive the decryption program write to email: everest@airmail.cc
    And in subject write your ID:  ID-[redacted 10 lowercase hex]
    We send you full instruction how to decrypt all your files.
    If you don't get a reply, then contact us using xmpp: decryptors@xmpp.is
    3.  [ FREE DECRYPTION! ]
    Free decryption as guarantee.
    We guarantee the receipt of the decryption program after payment.
    To believe, you can give us up to 3 files that we decrypt for free.
    Files should not be important to you! (databases, backups, large excel sheets, etc.)
>>>>>>>>>>>>>>>>>>>>>>>>>>>> EVEREST LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<



Обновление от 16-22 ноября 2018: 
Пост в Твиттере >>
Расширение: .neverdies@tutanota.com
Составное расширение: .[yoursalvations@protonmail.ch].neverdies@tutanota.com
Email: yoursalvations@protonmail.ch, neverdies@tutanota.com
Записка на 5-ти языках: !=How_recovery_files=!.html
Результаты анализов: VT + IA



Обновление от 28 ноября 2018:
Пост в Твиттере >>
Пример расширения: .[youhaveonechance@cock.li].lightning
Шаблон расширения: .[<email>].lightning
Целевая система:  x64
Записка: !=How_to_decrypt_files=!.txt
Email: youhaveonechance@cock.li
Результаты анализов: VT + IA

Обновление от 14 февраля 2019:
Пример расширения: .[evillocker@cock.li].EVIL
Шаблон расширения: .[<email>].EVIL
Email: evillocker@cock.li, dayevil@cock.li 
Записка: !_HOW_RECOVERY_FILES_!.txt

Обновление от 19 февраля 2019:
Пост в Твиттере >>  
Пост в Твиттере >>
Самоназвание: SEED LOCKER
Расширение: .seed
Email: seed@firemail.cc, backupseed@tuta.io
Записка: !#_How_to_decrypt_files_#!.txt
➤ Содержание записки:  
>>>>>>>>>>>>>>>>>>>>>>>>>>>> SEED LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<
Hello , dear friend !
1. [ ALL YOUR FILES HAVE BEEN ENCRYPTED! ]
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the decryption program.
2. [ HOW TO RECOVERY FILES? ]
To receive the decryption program write on our e-mail: seed@firemail.cc or backupseed@tuta.io
And in subject write your ID: id-00c0e5 
3. [ FREE DECRYPTION! ]
Free decryption as a guarantee.
We guarantee the receipt of the decryption program after payment.
To believe, you can give us up to 3 files that we decrypt for free.
Files should not be important to you! (databases, backups, large excel sheets, etc.)
>>>>>>>>>>>>>>>>>>>>>>>>>>>> SEED LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<



Обновление от 4 марта 2019:
Пост в Твиттере >>
Самоназвание: SEED LOCKER
Подписан цифровой подписью. 
Расширение: .seed
Email: seed@firemail.cc, backupseed@tuta.io
Записка: !#_How_to_decrypt_files_#!.txt
Результаты анализов: HA + VT + IA


Обновление от 18 октября 2019: 
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .DEADMIN
Полное расширение: .DEADMIN LOCKER[DeAdmin@cock.li].DEADMIN
Email: deadmin@cock.li, deadmin@420blaze.it
Записка: !_HOW_RECOVERY_FILES_!.txt
Результаты анализов: VT + HA + ARVMR + IA
DrWeb -> Trojan.Encoder.25069
BitDefender -> Gen:Heur.Ransom.Imps.1
ALYac -> Trojan.Ransom.Everbe
➤ Содержание записки: 
    >>>>>>>>>>>>>>>>>>>>>>>>>>>> DEADMIN LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<
    HELLO, DEAR DEADMIN!
    1.  [ ALL YOUR FILES HAVE BEEN ENCRYPTED! ]
    Your files are NOT damaged! Your files are modified only. This modification is reversible.
    The only 1 way to decrypt your files is to receive the decryption program.
    2.  [ HOW TO RECOVERY FILES? ]
    To receive the decryption program write to email: deadmin@cock.li
    And in subject write your ID:  ID-ioc346f45678
    We send you full instruction how to decrypt all your files.
    If we do not respond within 24 hours, write to the email: deadmin@420blaze.it
    3.  [ FREE DECRYPTION! ]
    Free decryption as guarantee.
    We guarantee the receipt of the decryption program after payment.
    To believe, you can give us up to 3 files that we decrypt for free.
    Files should not be important to you! (databases, backups, large excel sheets, etc.)
    >>>>>>>>>>>>>>>>>>>>>>>>>>>> DEADMIN LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<< 



Обновление от 26 октября 2019:
Самоназвание: COCKROACH LOCKER
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .[cockroach@cock.lu].COCKROACH
Записка: !_HOW_RECOVERY_FILES_!.txt
Email: cockroach@cock.lu, cockroach@rape.lol


Обновление от 3 декабря 2019 (предположительно):
Топик на форуме >>
Расширение: .Oypl7T1i9
Email: stanley001@cock.li, supportrest1@cock.li
Записка: !_HOW_RECOVERY_FILES_!.txt
➤ Содержание записки: 
                       HELLO, DEAR FRIEND!
    Whats Happen?
    1.  [ ALL YOUR FILES HAVE BEEN ENCRYPTED! ]
     Your files are NOT damaged! Your files are encrypted, and currently unavailable.
     You can check it: all files on your computer has extension Oypl7T1i9.
     By the way, everything is possible to recover (restore), but you need to follow our instructions.
     Otherwise, you cant return your data (NEVER).The only 1 way to decrypt your files is to receive the decryption program.
    2.  [ HOW TO RECOVERY FILES? ]
    To receive the decryption program write to email: stanley001@cock.li
    And in subject write your ID:  ID-cz940a361***
    We send you full instruction how to decrypt all your files.
    If we do not respond within 24 hours, write to the email: supportrest1@cock.li
    3.  We recommed you to attach 3 encrypted files to your message.
    We will demonstrate that we can recover your files, total size must be less than 5Mb.
                          SODIN LOCK



Обновление от 3 марта 2020:
Версия: Everbe 3.0
Самоназвание: CULEX LOCKER
Пост в Твиттере >>
Расширение: .[culex@cock.li].CULEX
Email: culex@cock.lu
Записка: !_HOW_RECOVERY_FILES_!.txt



Обновление от 27 июля 2020:
Пост в Твиттере >>
Видимо тоже, что и 26 октября 2019. 
Расширение: .[cockroach@cock.lu].COCKROACH
Email: cockroach@cock.lu






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать InsaneCrypt Decrypter для дешифровки >>
Этот дешифровщик для разных групп вымогателей.
Прочтите подробную инструкцию перед запуском. 
***
Поддерживаемые расширения вариантов Everbe 1.0:
.[email].everbe
.[email].volcano
.[email].embrace
.[email].pain

К сожалению...
Файлы, зашифрованные Everbe 2.0-3.0, не дешифруются.
Возможно, что в будущем будет дешифровщик. 
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
*
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Everbe, Everbe 2.0, Everbe 3.0)
 Write-up, Topic of Support
🎥  Video review 
  - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov, Jakub Kroustek
 GrujaRS, Emmanuel_ADC-Soft
 
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *