Если вы не видите здесь изображений, то используйте VPN.

пятница, 6 июля 2018 г.

Shrug, Shrug-2

Shrug Ransomware

Shrug-2 Ransomware

(шифровальщик-вымогатель, деструктор)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: Shrug или Shruggie. На файле написано: Shrug.exe

© Генеалогия: выясняется.
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .SHRUG


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Этимология названия:
Shrug, Shrugging (англ. "пожимание плечами"), поэтому в окне экран аблоковки поставлен соотвествующий смайлик ¯\_(ツ)_/¯, имеющий то же значение. Первоначально ставший известен в Рунете как "Пожималкин", позже он стал популярным и на Западе, где его прозвали "Shruggie".

Активность этого крипто-вымогателя пришлась на начало июля 2018 г.
Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.
 

Содержание записки о выкупе:
Oh shit waddup ¯\_(ツ)_/¯
---
I know what you're thinking. "What happened?"
Well, the answer is quite simple. Before I tell you, promise me you will not get mad. Okay. Your PC was victim of a Ransomware attack. 
That means every important file is now encrypted and you can't access them. Oh, and there is this screen locker too. You don't have access to your PC anymore.
What a shame, huh?
There is only one way to get your stuff back. $50. It isn't that much, cmon! I'll give you instructions on how to pay. Alright. To successfully pay the ransom and unlock all your sh*t, you will need Bitcoins. But wait, it is only 50 USD in Bitcoins, no worries. Nothing to worry about. You can buy it in the internet.
Oh, and don't even Google "how to remove a ransomware" because it will not help. When buying Bitcoins you will need a wallet. You can create one at a website called Blockchain. Now find a way to buy 50 USD in BTC. Google is your friend. 
Then you must send the Bitcoins to the wallet specified in the right of the screen. After that, write your wallet inside that text box and finally click the button "I paid!". Wait some time until I confirm your payment and fix your files.
- Martha
---
Your files will be destroyed in
2 days, 23 hours, 59 minutes, 51 seconds
if you don't pay.
1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx
(click to copy to clipboard)
[Your wallet goes here]
[I paid!]

Перевод записки на русский язык:
О, черт возьми ¯ \ _ (ツ) _ / ¯
---
Я знаю, о чем вы думаете. "Что случилось?"
Ну, ответ довольно прост. Прежде чем я скажу вам, пообещайте, что вы не сойдете с ума. Хорошо. Ваш компьютер жертва атаки Ransomware.
Это означает, что каждый важный файл теперь зашифрован, и вы не можете получить к нему доступ. О, и есть этот блокировщик экрана тоже. У вас больше нет доступа к компьютеру.
Какой позор, да?
Есть только один способ вернуть ваши вещи. $ 50. Это не так много, cmon! Я дам вам инструкции о том, как платить. Хорошо. Чтобы успешно заплатить выкуп и разблокировать всё ваше д*рьмо, вам понадобятся биткоины. Но подождите, это всего лишь 50$ в биткоbнах, не беспокойтесь. Не о чём беспокоиться. Вы можете купить его в Интернете.
О, и даже поиск в Гугле "how to remove a ransomware" не поможет. При покупке биткоинов вам понадобится кошелек. Вы можете создать его на веб-сайте Blockchain. Теперь найдите способ купить 50$ США в BTC. Google - ваш друг.
Затем вы должны отправить биткоины в кошелек, указанный в правой части экрана. После этого напишите свой кошелек внутри этого текстового поля и, наконец, нажмите кнопку "I paid!" (Я заплатил). Подождите некоторое время, пока я не подтвержу ваш платеж и не исправлю ваши файлы.
- Марта
---
Ваши файлы будут уничтожены через
2 дня, 23 часа, 59 минут, 51 секунда
если вы не заплатите.
1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx
(нажмите, чтобы скопировать в буфер)
[Ваш кошелек введите сюда]
[I paid!]




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Shrug.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://tempacc11vl.000webhostapp.com/marthas_stuff/uploadhash.php
BTC: 1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Shrug Ransomware - июль 2018
Shrug-2 Ransomware - июль 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 18 июля 2018:
Пост в Твиттере >>
Расширение: .SHRUG2
Сумма выкупа: $70
BTC: 1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx
Файл: ShrugTwo.exe
Самоназание: ShrugTwo
Скриншот экрана блокировки >>
Содержание текста о выкупе:
What happened? 
Your important files have been encrypted. Many of your documents, pictures, videos, databases, scripts, codes, presentations are no longer accessible because they have been encrypted. Maybe you're busy looking for a way to recover your stuff, but don't waste your time.
Nobody can do that without our decryption service.
Can I recover my files?
Of course! We guarantee that you can recover all your files safely and easily. But you don't have too much time. If you want to decrypt everything, you will need to pay. You only have 3 days to submit the payment, otherwise all your files will be PERMANENTLY deleted. Lost. Forever. 
How do I pay?
Payment is accepted in Bitcoin only. Use your favorite search engine (6oogle, DuckDuckGo, etc.) to learn more about Bitcoin. To send a payment, you will need a Bitcoin wallet. You can create one at Blockchain.com for free. After creating your wallet, buy some Bitcoins (amount is specified down below) and send the correct amount to the address specified in this window. After your payment, click [Check Payment]. The best time to check is around 8-10pm GMT. 
IMPORTANT: Disable or uninstall your anti-virus until your files are recovered (or gone). Antivirus might delete this window making it impossible to recover your stuff.
Результаты анализов: VT + HA

Обновление от 25 декабря 2019 (вариант из прошлого года, т.е. старый):
Пост в Твиттере >>
Расширение: .SHRUG2
BTC: 1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx
Файл: ShrugTwo.exe
Самоназание: ShrugTwo
Образец из 2018 года, описанный выше. 
Результаты анализов: VT + AR





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Shrug, Shrug2)
 Write-up, Topic of Support
 🎥 Video review >>
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *