Если вы не видите здесь изображений, то используйте VPN.

четверг, 24 мая 2018 г.

Magician

Magician Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.033 BTC, чтобы вернуть файлы. Оригинальное название: Magician и Magician RSWware. На файле написано x1609y.exe. Разработчик подписался как: The Magician

© Генеалогия: EDA2 >> Stolich >> Magician

К зашифрованным файлам добавляется расширение .magic

Активность этого крипто-вымогателя пришлась на вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
You have been attacked by the Magician RSWare, your Personal Identifier is ***  if you lose it - any chance of getting your data is flushed in the toilet

Перевод записки на русский язык:
Вы были атакованы Magician RSWare, ваш персональный идентификатор *** если вы его потеряли - шанс вернуть ваши данные смыт в туалете



Имеется также некая записка в отдельном сообщении.

Содержание сообщения:
"gold is 1 part mercury and 3 parts sulfur", "msil.jabir by alcopaul"

Перевод на русский язык:
"золото - 1 часть ртути и 3 части серы", "msil.jabir by alcopaul"


Подробная информация есть на веб-страницах вымогателей: 

Содержание текста со скриншотов: 
Feel the Wrath of the Magician
Now make me rich!
Send 0.033 BTC to 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
Use any service for sending the bitcoin
Also, please email me after your have completed payment with your bitcoin address: magicman22@protonmail.ch
---
Now, Here are the steps to getting your data back!
1. Send 0.033 Bitcoin to the following bitcoin address:
2. Once you have sent the payment send an email to magicman22@protonmail.ch with the following: This Code: WIN30I and your bitcoin address
3. Have your files unlocked within the same hour!
If you should have any trouble making payment please send us an email to magicman22@protonmail.ch any begging to unlock files without payment will be ignored.
A SERIOUS WARNING!! ALL FILES WILL BE AUTOMATICALLY LOST FOREVER IF PAYMENT IS NOT MADE WITHIN 24 HOURS!!
How to buy Bitcoin if you never have before!
1. Create a bitcoin wallet with any provider (free) - blockchain.info is the best one
2. Buy bitcoin from any exchange or from bitcoin.com.au if you are in Australia. - once the bitcoin is sent to your wallet, you
will be able to send it to the address provided. 
Here are some helpful links for buying bitcoin or just google it!
xxxx://fortune.com/2018/01/03/bitcoin-buy-how-to-cryptocurrency/
xxxxs://bitcoin.com.au/
The FBI says to just pay the ransom! Google It!
I use use santization to prevent XSS attacks to servers
I reset the dates to 1st January 1999 of all the files
I use RSA 4096 and AES 256 (okay, doesn't matter but still
I also cause much more crypting (encrypting D:, E: and F:)
Regards,
The Magician
---
Welcome!
This is where the Magician Ransomware has been hosted :)
If you are a victim, click here

Перевод текста на русский язык: 
Почувствуйте Гнев Мага
Теперь сделайте меня богатым!
Отправьте 0.033 BTC на 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
Используйте любой сервис для отправки биткоина
Кроме того, напишите мне на email после того, как вы завершили оплату сj своего биткоин-адреса: magicman22@protonmail.ch
---
Теперь, вот шаги по возврату ваших данных!
1. Отправьте 0.033 биткоина на следующий биткоин-адрес:
2. После того как вы отправили платеж, отправьте email по адресу magicman22@protonmail.ch со следующим: Этот код: WIN30I и ваш биткоин-адрес
3. Разблокируйте файлы в течение одного часа!
Если у вас возникнут какие-то проблемы с оплатой, отправьте нам письмо по адресу magicman22@protonmail.ch. Просьба разблокировать файлы без оплаты будет проигнорирована.
СЕРЬЕЗНОЕ ПРЕДУПРЕЖДЕНИЕ! ВСЕ ФАЙЛЫ БУДУТ АВТОМАТИЧЕСКИ ПОТЕРЯНЫ НАВСЕГДА, ЕСЛИ ОПЛАТА НЕ СДЕЛАНА ЗА 24 ЧАСА !!
Как купить биткоин, если у вас никогда не было раньше!
1. Создайте биткоин-кошелек с любым провайдером (бесплатно) - blockchain.info - лучший
2. Купите биткоин с любого обмена или с bitcoin.com.au, если вы находитесь в Австралии. - как только биткоин отправится на ваш кошелек, вы
сможет отправить его на указанный адрес.
Вот некоторые полезные ссылки для покупки биткоина или погуглите!
xxxx://fortune.com/2018/01/03/bitcoin-buy-how-to-cryptocurrency/
xxxxs://bitcoin.com.au/
ФБР говорит, что просто заплатите выкуп! Погуглите это!
Я использую санитизацию для предотвращения XSS-атак на серверы
Я возвращаю даты до 1 января 1999 года на всех файлов
Я использую RSA 4096 и AES 256 (ок, не имеет значения, но все равно
Я также делаю большее шифрование (шифрование D:, E: и F :)
С Уважением,
Маг
---
Добро пожаловать!
Именно здесь был запущен Magician Ransomware :)
Если вы жертва, нажмите здесь


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt
x1609y.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: xxxxs://magicman22.co.nf/panel2020
Email: magicman22@protonmail.ch
BTC: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *