Если вы не видите здесь изображений, то используйте VPN.

среда, 8 августа 2018 г.

RansomWarrior

RansomWarrior Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $349 BTC, чтобы вернуть файлы. Оригинальное название: RansomWarrior 1.0. На файле написано: RansomWarrior 1.0.exe и A Big Present.exe. Разработка: хакерская группа из Индии (самоназвание). 

© Генеалогия: выясняется, явное родство с кем-то не доказано. 
Изображение - логотип статьи

К зашифрованным файлам добавляется расширение: .THBEC

Шаблон зашифрованного файла: Encrypted#.THBEC

Под знаком # могут быть цифры от 1 до 1000, например:
Encrypted1.THBEC
Encrypted2.THBEC
...
Encrypted1000.THBEC 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало августа 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает следующий экран (диалоговое окно) и веб-страница на сайте вымогателей. 

Содержание текста о выкупе:
Oops!!! Your Files Has Been Encrypted By RansomWarrior 1.0
Message for you from RansomWarrior 1.0
Hello, we are a group of dedicated hackers from India. We have encrypted all your files so we can get your money. All your important files has been encrypted which means you are going to pay us a ransom of 349 USD in Bitcoins. So first of all you can decrypt to of your important files and we will show you which files has been decrypted. Just so you can see that we do have your decryption key, and you will be able to buy it from us. You won't be able to get your important files back if you don't buy your decryption key. Notice a clock on the side, when that date arrives your important files will be deleted(You have 24 hours to pay the ransom).
You will be able to get Bitcoins, at sites such as coinbase.com or localbitcoins.com. There are also others, but usually these are the usual choice
(Make sure to get a little bit more Bitcoins, due to transaction fees and the crypto currency is very volatile. It's also a good idea to get the Bitcoins,
as soon as possible, because sometimes the purchasing process can take hours. You would also need a wallet for your Bitcoins if you are not using
the coinbase.com wallet. When you have your Bitcoins in your wallet. You are going to download and install the tor browser. Go to torproject.org and
then follow the instructions given there.
You need the tor browser, because our payment website is located in darknet. When you have downloaded and installed the tor browser. Go to this link: zpkjjp57apz76k3q.onion\Pay\PayThis\Payment_1000731.PHP When you are on the website, you simply transfer your Bitcoins to the address that are provided to you(You can copy the address and then paste it in your Bitcoin wallet when you are transfering the Bitcoins). When your Bitcoins arrive to our wallet, you will be notified and then be able to download the decryption key. When you have your decryption key, simply place the key in your C:\ And then get all your important files back. The ransomware will then decrypt everything and remove itself.
Here is the entire lists of the way it's done:
1. Decrypt 2 important files as proof of decryption key and we decrypt to keep a good reputation about RansomWarrior 1.0.
2. Get a Bitcoin wallet(If needed)
3. Get the Bitcoins from coinbase.com or localbitcoins.com or an alternative.
4. Download and install the tor browser from torproject.org
5. Go to our website: zpkjjp57apz76k3q.onion\Pay\PayThis\Payment_1000731.PHP
6. Pay your Bitcoins to the Bitcoin address showed.
7. When accepted download your decryption key and put it in your C:\.
8. Then decrypt all of your important files and wait till the ransomware deletes itself.
Bonus tips:
1. Do this process as fast as possible, to make sure you get your important files back.(Due to Bitcoins sometimes take some time.)
2. If you are old and this seems confusing, get help from a younger relative or equivalent.
3. Always remember that the clock is ticking.
4. Do not attempt to adjust any of the files in the folder or try to adjust the clock on your computer. This can cause the ransomware to delete itself
along with your important files.
5. If you do no. 4 make sure you have technical experience.
6. We will decrypt your important files for our price stated, destroying things is not something we want to do.
7. Save your time(It's limited) by not reporting it to the police, they can't help you anyways(And will jut turn your away).
8. Also disable your anti malware software, because this can delete the ransomware(And we can't guarantee your important files).
9. Have a good day with the love from India.
[Get Your Important Files Back]
[Get 2 Important Files Decrypted For Free]

Перевод текста на русский язык:
Упс!!! Ваши файлы зашифрованы RansomWarrior 1.0
Сообщение для вас от RansomWarrior 1.0
Привет, мы - группа преданных хакеров из Индии. Мы зашифровали все ваши файлы, чтобы мы могли получить ваши деньги. Все ваши важные файлы были зашифрованы, что означает, что вы должны заплатить нам выкуп в размере 449$ в биткоинах. Поэтому, прежде всего, вы можете расшифровать свои важные файлы, и мы покажем вам, какие файлы были расшифрованы. Просто чтобы вы могли видеть, что у нас есть ключ дешифрования, и вы сможете купить его у нас. Вы не сможете вернуть свои важные файлы, если вы не купите свой ключ дешифрования. Обратите внимание на часы сбоку, когда эта дата придет, ваши важные файлы будут удалены (у вас есть 24 часа, чтобы заплатить выкуп).
Вы сможете получить биткоины на таких сайтах, как coinbase.com или localbitcoins.com. Есть и другие, но это обычный выбор
(Удостоверьтесь, чтобы получить немного больше биткоинов из-за транзакционных сборов, а криптовалюта очень изменчива. Также неплохо получить биткойны, как можно скорее, потому что иногда процесс покупки может занять несколько часов. Вам также понадобится кошелек для ваших биткойнов, если вы не используете кошелек coinbase.com. Когда у вас есть биткоины в вашем кошельке. Вам надо загрузить и установить браузер Tor. Перейдите на страницу torproject.org и затем следуйте инструкциям, приведенным там.
Вам нужен браузер Tor, потому что наш сайт оплаты находится в Даркнете. Когда вы загрузили и установили браузер tor. Перейдите по этой ссылке: zpkjjp57apz76k3q.onion\Pay\PayThis\Payment_1000731.PHP Когда вы находитесь на веб-сайте, вы просто переведите свои биткоины по адресу, который вам предоставлен (вы можете скопировать адрес, а затем вставить его в свой биткоин-кошелек когда вы передаете биткойны). Когда ваши биткойны поступят в наш кошелек, вы будете уведомлены, а затем сможете загрузить ключ дешифрования. Когда у вас будет ключ дешифрования, просто поместите ключ в свой C:\ И затем вернёте все важные файлы. Затем Ransomware дешифрует всё и удалится.
Вот порядок того, как это делается:
1. Расшифруйте 2 важных файла в качестве доказательства ключа дешифрования, и мы расшифруем, чтобы сохранить хорошую репутацию в RansomWarrior 1.0.
2. Получите биткоин-кошелек (при необходимости)
3. Получите биткоины с coinbase.com или localbitcoins.com или альтернативные.
4. Загрузите и установите браузер Tor из torproject.org.
5. Перейдите на наш веб-сайт: zpkjjp57apz76k3q.onion\Pay\PayThis\Payment_1000731.PHP
6. Оплатите свои биткоины на показанный биткоин-адрес.
7. При принятии загрузите свой ключ дешифрования и поместите его в свой C:\.
8. Затем расшифруйте все свои важные файлы и дождитесь, пока Ransomware не удалит себя.
Бонусные подсказки:
1. Сделайте этот процесс как можно быстрее, чтобы убедиться, что вы вернете важные файлы. (Из-за биткоинов иногда требуется некоторое время.)
2. Если вы старый и это кажется запутанным, обратитесь за помощью к младшему родственнику или подобному.
3. Всегда помните, что часы тикают.
4. Не пытайтесь переделать какие-то файлы в папке или настроить часы на вашем компьютере. Это может привести к тому, что Ransomware удалит себя наряду с вашими важными файлами.
5. Если вы этого не сделаете. 4 убедитесь, что у вас есть технический опыт.
6. Мы расшифруем ваши важные файлы по указанной цене, уничтожая вещи, мы не хотим этого делать.
7. Сэкономьте свое время (оно ограничено), не сообщая об этом полиции, они не могут помочь вам в любом случае (и будут отвергать вас).
8. Также отключите антивирусное ПО, потому что это может удалить выкуп (И мы не сможем гарантировать ваши важные файлы).
9. Счастливого дня с любовью от Индии.
[Получить ваши важные файлы назад]
[Получить 2 важных файла, расшифрованных бесплатно]



После успешного дешифрования файлов появляется следующее окно с заголовком "Thank You!":

Содержание текста: 
All of your important files has been decrypted, you are now free from RansomWarrior 1.0. We want to thank you for your money, it means a lot. RansomWarrior 1.0 will be set to self-destruct.

Перевод текста на русский:
Все ваши важные файлы были расшифрованы, теперь вы свободны от RansomWarrior 1.0. Мы хотим поблагодарить вас за ваши деньги, это много значит. RansomWarrior 1.0 будет настроен на самоуничтожение.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
A Big Present.exe
Payment_1000731.PHP и другие
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
zpkjjp57apz76k3q.onion\Pay\PayThis\Payment_1000731.PHP
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

По данным исследователей, дешифрование возможно. 
Для получения ключа дешифрования, перейдите по ссылке.
Найдите ключ дешифрование по номеру вашего Payment.
В статье этот номер 1000731 (в Payment_1000731.PHP)
Это эксперимент. Сначала сделайте бэкап зашифрованных файлов. 
 Read to links: 
 Tweet on Twitter + Tweet + Decrypt
 ID Ransomware (ID as RansomWarrior)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 Paweł Lechocki (sudo paul_it)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *