среда, 7 марта 2018 г.

Everbe, Everbe 2.0

Everbe Ransomware

Everbe 2.0 Ransomware

Everbe: Everbe, Embrace, PainLocker, 

Everbe 2.0: eV3rbe, EvilLocker, HyenaLocker, thunder, divine

(семейство шифровальщиков-вымогателей, все итерации)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES (или DES) + RSA-2018 (для ключей), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: everbe. На файле написано: нет данных. Целевые системы: Windows x64. Статус: Файлы можно дешифровать. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Rerosomware >> Everbe > Embrace > eV3rbe > PainLocker > EvilLocker

К зашифрованным файлам добавляется расширение .everbe
Фактически используется составное расширение .[everbe@airmail.cc].everbe


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !=How_recovery_files=!.txt

Содержание записки о выкупе:
Hi !
If you want restore your files write on email - everbe@airmail.cc
In the subject write - id-3003${CODE}
Do not try to recover data, it's wasting your time.
Every 7 days the price doubles.

Перевод записки на русский язык:
Привет !
Если ты хочешь вернуть свои файлы, пиши на email - everbe@airmail.cc
В теме пиши - id-3003${CODE} 
Не пробуй вернуть данные, это пустая трата твоего времени.
Каждые 7 дней цена удваивается.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ На чём основан проект вымогателя:
Путь текущего проекта: C:\everbe\Decryptor\rerosomware.pdb
Использован Rerosomware, автор-разработчик: Ricardo Roman, email: reroman4@gmail.com
Размещение ресурса: xxxxs://github.com/8noobs/rerosomware

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .jpg, .lnk, .pdf, .xls, xlsx ...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!=How_recovery_files=!.txt
<random>.exe - случайное название
msmdsrv.exe
ntdbsmgr.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: everbe@airmail.cc
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>  HA>>
𝚺  VirusTotal анализ >>  VT>> VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Everbe Ransomware - март 2018
Embrace Ransomware - май 2018
PainLocker Ransomware  - май 2018
eV3rbe Ransomware - июль 2018
EvilLocker Ransomware - июль 2018




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 24 апреля 2018:
Пост в Твиттере >> 
Пост в Твиттере >>
Название: Embrace Ransomware. 
Статус: Файлы можно дешифровать.  
Расширение: .embrace
Составное расширение: .[embrace@airmail.cc].embrace
Email: embrace@airmail.cc
Записка: !=How_recovery_files=!.txt

➤ Содержание записки о выкупе:
Hi !
If you want restore your files write on email - embrace@airmail.cc
In the subject write - id-0521336***
Do not try to recover data, it's wasting your time.
Every 7 days the price doubles.
Результаты анализов: VT + VT + AR

Обновление от 25 мая 2018:
Посты в Твиттере: MG, MHT, GrujaRS 
🎥 Видеообзор >>
Самоназвание: Pain Locker (PainLocker). 
Статус: Файлы можно дешифровать. 
Расширение: .pain
Составное расширение: .[pain@cock.lu].pain
Email: pain@cock.lu, pain@airmail.cc
Записка: !=How_recovery_files=!.txt
➤ Примечательно, что распространители данного Ransomware решили на этот раз взять текст записки у Rapid Ransomware, а не написать свойю. Возможно, решили запутать исследователей, к тому же дали этой версии своё название Pain Locker. 
Благодаря исследователям MalwareHunterTeam и Michael Gillespie мы знаем, что этот Ransomware относится к группе Everbe по идентификации ID Ransomware.  


Обновление от 6 июля 2018:
Относится к Everbe 2.0 Ransomware. Пока не дешифруется. 
Пост в Твиттере >> + Пост в Твиттере >>
Расширение: .eV3rbe
Составное расширение: .[eV3rbe@rape.lol].eV3rbe
Целевые системы: Windows x64
Email: eV3rbe@rape.lol
Email-перенаправление: cock.li
Записка: Readme if you want restore files.txt
➤ Содержание записки: 
Hi !
If you want restore your files write on email - eV3rbe@rape.lol
In the subject write - id-XXXXXXXXXX
Do not try to recover data, it's wasting your time.
Every 7 days price doubles.
If within 24 hours we didn't answer you , write to our backup mail - eV3rbe©tuta.io .
Результаты анализов: VT + VB


Обновление от 9 июля 2018:
Относится к Everbe 2.0 Ransomware. Пока не дешифруется. 
Пост в Твиттере >>
Самоназвание: EVIL LOCKER
Расширение: .EVIL
Составное расширение: .[evil@cock.lu].EVIL
Целевые системы: Windows x64
512 ASCII hex добавляются в файл, вероятно, зашифрованный ключ.
Удаляет теневые копии файлов. Создаёт много дочерних процессов. 
Email: evil@cock.lu, evil@firemail.cc
Email-перенаправление на cock.li
Записка: !_HOW_RECOVERY_FILES_!.txt
Файл: Evil Locker.exe
Результаты анализов: VT + VB + IA + HAVMRay

Обновление от 11 июля 2018:
Относится к Everbe 2.0 Ransomware. Пока не дешифруется. 
Пост в Твитере >>
Самоназвание: HYENA LOCKER
Расширение: .HYENA
Составное расширение: .[hyena@rape.lol].HYENA
Email: hyena@rape.lol, hyena@cock.lu
Email-перенаправление на cock.li
Записка: !_HOW_RECOVERY_FILES_!.txt


Обновление от 17 июля 2018:
Пост в Твиттере >>
Расширение: .thunder
Составное расширение: .[thunderhelp@airmail.cc].thunder
Email: thunderhelp@airmail.cc
Записка: !=How_recovery_files=!.txt


Обновление от 3 августа 2018:
Пост в Твиттере >>
Расширение: .divine
Составное расширение: .[divine@cock.lu].divine
Пример зашифрованного файла: bw7504.zip.u6jv4mb.partial.[divine@cock.lu].divine
Записка: !=How_to_decrypt_files=!.txt
Email: divine@cock.lu, divinebackup@tuta.io
➤ Содержание записки: 
Hello ! All your files have been encrypted !
Don't worry , we can help tou to return all of your files .
If you want to know price for decryptor , write to our email - divine@cock.lu
In the subject write - id-[redacted 11 numbers]
Every 7 days price doubles.
If within 24 hours we didn't answer you , write to our backup mail - divinebackup@tuta.io .

Обновление от 7 августа 2018:
Расширение: .EVIL
Составное расширение: .[evil@cock.lu].EVIL
Email: evil@cock.lu, evillock@cock.li
➤ Содержание записки: 
>>>>>>>>>>>>>>>>>>>>>>>>>>>> EVIL LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<
HELLO, DEAR FRIEND!
1.  [ ALL YOUR FILES HAVE BEEN ENCRYPTED! ]
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the decryption program.
2.  [ HOW TO RECOVERY FILES? ]
To receive the decryption program write to email: evil@cock.lu
And in subject write your ID:  ID-7b23fb
We send you full instruction how to decrypt all your files.
If we do not respond within 24 hours, write to the email: evillock@cock.li
3.  [ FREE DECRYPTION! ]
Free decryption as guarantee.
We guarantee the receipt of the decryption program after payment.
To believe, you can give us up to 3 files that we decrypt for free.
Files should not be important to you! (databases, backups, large excel sheets, etc.)
>>>>>>>>>>>>>>>>>>>>>>>>>>>> EVIL LOCKER <<<<<<<<<<<<<<<<<<<<<<<<<<<<





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать InsaneCrypt Decrypter для дешифровки >>
Этот дешифровщик для разных групп вымогателей.
Прочтите подробную инструкцию перед запуском. 
К сожалению...
Файлы, зашифрованные версией Everbe 2.0, не дешифруются.
Возможно, что в будущем будет дешифровщик. 
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
*
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Everbe, Everbe 2.0)
 Write-up, Topic of Support
🎥  Video review 
  - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 GrujaRS
 Jakub Kroustek
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton