суббота, 21 апреля 2018 г.

BlackHeart, BlackRouter

BlackHeart Ransomware

BlackRouter Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: BlackHeart и BlackRouter. На файлах разных вариантов написано: SF.exe, TR.exe, BLACKROUTER.EXE. Разработчик: Javad. 

Обнаружение: 
DrWeb -> Trojan.Encoder.26976, Trojan.Encoder.28032
BitDefender -> Gen:Variant.Ransom.BlackHeart.4
Malwarebytes -> Ransom.BlackRouter, Ransom.BlackHeart

© Генеалогия: Общий крипто-строитель SF Ransomware >> SpartacusSatyrBlackRouter, BlackHeart


К зашифрованным файлам добавляются расширения (в разных вариантах):
.BlackRouter или .pay2me 

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadME-BLackHeart.txt

Содержание записки о выкупе:
All your data has been locked us. You want to return? Contact to:
vahidkhazl23@qmail.com Your Personal key:
Vz**********************************************q==

Перевод записки на русский язык:
Ваши данные блокированы нами. Вы хотите вернуть? Связь на:
vahidkhazl23@qmail.com Ваш персональный ключ:
Vz**********************************************q==

Запиской с требованием выкупа также выступает экран блокировки:

Своеобразное приложение к экрану блокировки

Разработчик-вымогатель, видимо, фанат новых Star Wars. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Зашифрованный файл в версиях BlackHeart и BlackRouter немного отличается. 
Оригинальный файл и зашифрованный BlackHeart и BlackRouter

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SF.exe
TR.exe (TR.EXE)
BLACKROUTER.EXE
ReadME-BLackHeart.txt
<random>.exe - случайное название
aut3.tmp, aut4.tmp, aut5.tmp
jrw.gif

Расположения:
\Desktop\ ->
\User_folders\ ->
\Temp\BLACKROUTER.EXE
\Temp\TR.EXE
\Temp\aut3.tmp
\Temp\aut4.tmp
\Temp\aut5.tmp
\AppData\Local\temp\tmp\jrw.gif

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: vahidkhazl23@qmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >> VT>> VT>> VT>>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Общий крипто-строитель SF Ransomware - апрель 2018
Spartacus Ransomware - 15 апреля 2018
BlackRouter Ransomware  - 15 апреля 2018
Satyr Ransomware  - 18 апреля 2018
BlackHeart Ransomware - 21 апреля 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 4 декабря:
Пост в Твиттере >>

🎥 Видеообзор >>
Расширение: .BlackHat
Email: mehtihack051@qmail.com 
Telegram: @C3NTER
Файл EXE: SF.exe с иконкой с большой красной буквой "B".
Результатыт анализов: VT + VMRay


=== 2019 ===

Обновление от 7 января 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .BlackRouter
Записка: ReadME-BlackRouter.txt
Результаты анализов: VT + HA + VMR + AR


Обновление от 29 апреля 2019:
Пост в Твиттере >>
Видеообзор >>
Расширение: .Prodecryptor
Записка: ReadME-Prodecryptor@gmail.com.txt 
Email: Prodecryptor@gmail.com
Результаты анализов: VT + VMR





Обновление от 2 мая 2019:
Пост в Твиттере >>
Пост в Твитере >>
Расширение: .mariacbc
Записка: ReadME-Encryptor.txt
BTC: 1AnAZFK93T6xWfWHajwjtYeqQwVRMYFd2b
Email: Encrypt0rvps@gmail.com
Telegram: @@EncryptorVps
Результаты анализов: VT + VMR + AR


Обновление от 3 мая 2019:
Пост в Твиттере >>
Расширение: 
Записка: README_5265277.txt
Email: tyspalento@bigmir.net or mitoplent@safe-mail.net

URL: xxxx://6ksho3v2o341svi2.onion
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Spartacus)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jakub Kroustek, Bart
 CyberSecurity GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton