Если вы не видите здесь изображений, то используйте VPN.

пятница, 29 июня 2018 г.

AnimusLocker

AnimusLocker Ransomware
Animus Locker Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью XTEA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Animus Locker. На файле написано: Ransom.exe.

© Генеалогия: AuroraGeneric Malware > AnimusLocker

К зашифрованным файлам добавляется расширение: .animus


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину - конец июня 2018 г. (штамп времени на файле: 19-Jun-2018 13:01:33). Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
ANIMUS_RESTORE.txt
ANIMUS_RESTORE2.txt
ANIMUS_RESTORE3.txt
Они аналогичны по содержанию. 
AnimusLocker note

Содержание записки о выкупе:
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>
SORRY! Your files are encrypted.
File contents are encrypted with random key.
Random key is encrypted with RSA public key (2048 bit),
We strongly RECOMMEND you not to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price,
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
j0ra@protonmail.com
########
!ATTENTION!
Attach file is 000000000.key from %appdata% to email message,
Without it we will not be able to decrypt your files
########
And pay 100$ on 1G5TThb5tcJ3LQbF4C4Tibgd9y7m3iYPFH wallet
If someone else offers you files restoring, ask him for test decryption,
 Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>

Перевод записки на русский язык:
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>
ПРОСТИ! Ваши файлы зашифрованы.
Содержимое файла зашифровывается случайным ключом.
Случайный ключ зашифровывается открытым ключом RSA (2048 бит),
Мы очень рекомендуем вам не использовать "инструменты дешифрования".
Эти инструменты могут повредить ваши данные, делая восстановление НЕВОЗМОЖНЫМ.
Также мы рекомендуем вам не обращаться в компании по восстановлению данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене,
Если вы хотите расшифровать свои файлы, вы должны получить закрытый ключ RSA.
Чтобы получить секретный ключ, напишите сюда:
j0ra@protonmail.com
########
!ВНИМАНИЕ!
Прикрепите файл 000000000.key из %appdata% к email-сообщению,
Без него мы не сможем расшифровать ваши файлы
########
И заплатите 100$ на 1G5TThb5tcJ3LQbF4C4Tibgd9y7m3iYPFH кошелек
Если кто-то еще предлагает вам восстановление файлов, запросите у него тест расшифровку,
  Только мы можем успешно расшифровать ваши файлы; знайте, это может защитить вас от мошенничества.
Вы получите инструкции о том, что делать дальше.
<><><><><><><><><><><><><># animus locker #<><><><><><><><><><><><><>



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.db, .doc, .docx, .js, .jpg, .png, .xls, .xlsx, 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ANIMUS_RESTORE.txt
ANIMUS_RESTORE2.txt
ANIMUS_RESTORE3.txt
Ransom.exe
<random>.exe - случайное название
000000000.key

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Roaming\000000000.key

Записи реестра, связанные с этим Ransomware:
HKEY_USERS\\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run\MSFEEditor
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: j0ra@protonmail.com 
BTC: 1G5TThb5tcJ3LQbF4C4Tibgd9y7m3iYPFH
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Aurora Ransomware - май 2018
Animus Locker Ransomware - с расширением .animus - июнь 2018

Animus Locker Ransomware с расширением .desu - июль 2018
ONI Ransomware - август 2018


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 20 июля 2018:
Пост в Твиттере >>
Статус: Файлы можно расшифровать!
Самоназвание: desu ransomware
Расширение: .desu
Записки: @_DECRYPT_@.txt, @_DECRYPT2_@.txt, @_DECRYPT3_@.txt
Сумма выкупа: $200
Email: j0ra@protonmail.com
BTC: 1ARDXRQsvnsYiM5jZczFagtCrAzSFC1Qmy
Результаты анализов: VT
Вероятно, делает попытку перезаписать MBR, чтобы показать свой текст на чёрном фоне.



Обновление от 30 тюля 2018:
Расширение: .desu
Файлы переменовываются в HEX. 
Файлы записок: ©_RESTORE_PC_1.txt, ©_REST0RE_PC_2.txt, ©_REST0RE_PC_3.txt
Email-1: UnlockAlexKingman@protonmail.com
Email-2: hellstaff@india.com
Статус: файлы можно дешифровать. 
Файл: BadRansomware.exe и варианты
Результаты анализов: VT + VT + VMRay






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Скачайте дешифровщик по этой ссылке >>
Это общий дешифровщик для Aurora, AnimusLocker, ONI.
***
*
*
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID under Aurora)
 Write-up, Topic of Support
 🎥 Video review >>
  - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov, GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *