воскресенье, 15 сентября 2019 г.

PhoneNumber

PhoneNumber Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные организаций и учреждений, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->


© Генеалогия: другие Ransomware, направленные против организаций >> PhoneNumber
Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение, представляющее собой телефон пострадавшей организации или образовательного учреждения в США, например: 
.619-300-6500

Таким образом, шаблон расширения: .<victim_official_phone>

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину сентября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется по шаблону: !_<victim_official_name>_README_!.txt
В названии записки используется аббревиатура пострадавшей организации (учреждения) или название ПК. 
Например: 
!_ABCDE_README_!.txt
!_SDCCD_README_!.txt


Содержание записки о выкупе:
Hello, San Diego ***!
Check this message in details and contact someone from IT department.
All your files are encrypted with the strongest millitary algorithms (4096 bit RSA and 256 bit AES).
Do not modify or rename encrypted files - this may cause decryption failure.
If you want to restore your files you will need to make the payment.
You can send us an encrypted file (about 300KB) and we will decrypt it for free, so you have no doubts in possibility to restore the files any time.
Files should not contain sensitive information (databases, backups, large documents, etc).
The rest of the data will be available to you after the full payment.
Contact us only if you are authorized to make a deal from the whole affected network.
Don't contact us if you are not a such person.
Use english when contacting us.
Email: abcde@protonmail.com
If you don't get an answer within one day download BitMessage software.
Homelink: https://bitmessage.org
Identity: BM-2cVWAFSDMW6TG6GafBWKXK4o2T4sn1ctEx

Перевод записки на русский язык:
Привет, Сан-Диего ***!
Проверьте это сообщение в деталях и свяжитесь с кем-то из ИТ-отдела.
Все ваши файлы зашифрованы с использованием самых надежных военных алгоритмов (4096 бит RSA и 256 бит AES).
Не изменяйте и не переименовывайте зашифрованные файлы - это может привести к ошибке расшифровки.
Если вы хотите восстановить ваши файлы, вам нужно будет произвести оплату.
Вы можете отправить нам зашифрованный файл (около 300 КБ), и мы бесплатно расшифруем его, поэтому не сомневайтесь в возможности восстановления файлов в любое время.
Файлы не должны содержать конфиденциальную информацию (базы данных, резервные копии, большие документы и т. Д.).
Остальные данные будут вам доступны после полной оплаты.
Свяжитесь с нами, только если вы уполномочены совершать сделки со всей затронутой сетью.
Не связывайтесь с нами, если вы не такой человек.
Используйте английский при обращении к нам.
Email: abcde@protonmail.com
Если вы не получили ответ в течение одного дня, загрузите программное обеспечение BitMessage.
Домашняя ссылка: https://bitmessage.org
Идентификация: BM-2cVWAFSDMW6TG6GafBWKXK4o2T4sn1ctEx

---
Шаблон email-адреса пострадавших: <victim_official_name>@protonmail.com

Email-адрес представляет собой аббревиатуру пострадавшей организации и таким образом создается вымогателями для каждой пострадавшей организации. 
Например: 
abcde@@protonmail.com - A* B* C* D* E* аббревиатура из первых пяти букв английского алфавита
sdccd@protonmail.com - San Diego C* C* D*



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!_SDCCD_README_!.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email для пострадавших: sdccd@protonmail.com
BitMessage вымогателей: BM-2cVWAFSDMW6TG6GafBWKXK4o2T4sn1ctEx
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as PhoneNumber)
 Write-up, Topic of Support
 * 
 Thanks: 
 quietman7, Jsage, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 13 сентября 2019 г.

Is, EvaRichter

Is Ransomware

EvaRichter Ransomware

(фейк-шифровальщик, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель делает вид, что шифрует данные пользователей с помощью AES, а затем требует выкуп в 1500$ в BTC (в ~0.147 BTC), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Is.exe. Фальш-копирайт: (C) 2007-2015 Xiaomi.

Обнаружения:
DrWeb -> Trojan.Encoder.29521
BitDefender -> Trojan.GenericKD.32440367
Symantec -> Trojan.Gen.MBT
Avira (no cloud) -> TR/AD.MalwareCrypter.lxp
Kaspersky -> Trojan.Win32.Yakes.zanc
Tencent -> Win32.Trojan.Raas.Auto

© Генеалогия: Ordinypt >> Is (EvaRichter)
Изображение — только логотип статьи "Is Eva Richter" :)

К фейк-зашифрованным файлам добавляется случайное расширение: .<random{5}>

Например: 
.1Alba
.wkaTs
.Jddkt

Это расширение потом используется в названии записки о выкупе. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую полоивну августа 2019 г. Ориентирован на англоязычных и немецкоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется по шаблону: <random{5}>_how_to_decrypt.txt

Примеры: 
1Alba_how_to_decrypt.txt
wkaTs_how_to_decrypt.txt



Содержание записки о выкупе:
============================ WELCOME ============================
============== DO NOT DELETE THIS FILE UNTIL ALL YOUR DATA HAS BEEN RECOVERED! ==============
All of your files have been encrypted and now have the file extension: .1Alba
The only way to recover your files is to purchase our decrypter software, which will only work for your PC.
For further instructions how to decrypt your files, please download the TOR Browser
=================================================
=======
1. Download Tor Browser from: https://www.torproject.org
2. Install and open TOR Browser
3. Navigate to the following url: http://2u6gynsdszbd7ey3.onion/
4. Enter your access code
Your access code:
VVNFUi1QQw==|YWRtaW4=|MUFsYmE=|9UIsLJkGUDPqAQ***
Copy & Paste it into the access code field
========================================================
Warning:
DO NOT MODIFY ANY OF THE ENCRYPTED FILES OR TRY OTHERWISE TO DECRYPT THEM YOURSELF
YOU RISK DAMAGING THE FILES AND YOU WILL LOOSE YOUR FILES FOREVER!

Перевод записки на русский язык:
============================ ДОБРО ПОЖАЛОВАТЬ ===================== =======
============== НЕ УДАЛЯЙТЕ ДАННЫЙ ФАЙЛ ПОКА ВСЕ ДАННЫЕ НЕ БУДУТ ВОССТАНОВЛЕНЫ! ==============
Все ваши файлы были зашифрованы и теперь имеют расширение: .1Alba
Единственный способ восстановить ваши файлы - это приобрести нашу программу для дешифрования, которое будет работать только на вашем ПК.
Для дальнейших инструкций о том, как расшифровать ваши файлы, пожалуйста, скачайте TOR браузер
=================================================
=======
1. Загрузите Tor браузер с: https://www.torproject.org
2. Установите и откройте TOR браузер
3. Перейдите по следующему адресу: http://2u6gynsdszbd7ey3.onion/
4. Введите свой код доступа
Ваш код доступа:
VVNFUi1QQw == | YWRtaW4 = | MUFsYmE = | 9UIsLJkGUDPqAQ ***
Скопируйте и вставьте его в поле кода доступа
========================================================
Предупреждение:
НЕ ИЗМЕНЯЙТЕ НИ ОДИН ИЗ ЗАШИФРОВАННЫХ ФАЙЛОВ И НЕ ПЫТАЙТЕСЬ РАСШИФРОВАТЬ ИХ САМОСТОЯТЕЛЬНО.
ВЫ РИСКУЕТЕ ПОВРЕДИТЬ ФАЙЛЫ И ПОТЕРЯЕТЕ ИХ НАВСЕГДА!

---

Подробная информация по оплате представлена на Tor-сайте вымогателей:
Содержание страницы сайта:
Time left until private key is destroyed: ***
All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't be able to decrypt them without our help.
What can I do to get my files back?
You can buy our special decryption software, this software will allow you to recover all of your data and remove the ransomware from your computer. The price for the software is $1,500. Payment can be made in Bitcoin only.
What happens when the timer runs out?
The private key that is required to recover your files will be deleted from our servers and your files will be lost forever!
What guarantees do I have?
There's no guarantees, but this is our business, it would be bad for our business if we do not stick to our word. We assure you, you will be able to decrypt all of your files after payment. The only guarantee we give you is that you WILL NOT be able to recover your files without our help.
How do I pay, where do I get Bitcoin?
Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search yourself to find out how to buy Bitcoin. Many of our customers have reported these sites to be fast and reliable:
    Coinmama - https://www.coinmama.com
    Bitpanda - https://www.bitpanda.com
Payment information
Amount:
    0.1473766 BTC
Address:
    1NFoS7R48iPbvMdgJNe4wSBcXuwWDKX4aP
The decrypter will become available for download once your transfer has received 2 confirmations on the Bitcoin network.

Перевод на русский язык:
Оставшееся время до уничтожения закрытого ключа: ***
Все ваши файлы были зашифрованы
Ваш компьютер был заражен вирусом-вымогателем. Ваши файлы были зашифрованы и вы не сможете расшифровать их без нашей помощи.
Что я могу сделать, чтобы вернуть мои файлы?
Вы можете купить нашу специальную программу для расшифровки, эта программа позволит вам восстановить все ваши данные и удалить вымогателей с вашего компьютера. Цена на программу составляет 1500 долларов. Оплата может быть произведена только в биткойнах.
Что произойдет, когда закончится отсчет таймера?
Закрытый ключ, нужный для восстановления ваших файлов, будет удален с наших серверов, и ваши файлы будут потеряны навсегда!
Какие гарантии у меня есть?
Нет никаких гарантий, но это наш бизнес, будет плохо для нашего бизнеса, если мы не будем придерживаться своего слова. Уверяем вас, вы сможете расшифровать все свои файлы после оплаты. Единственная гарантия, которую мы вам даем, заключается в том, что вы НЕ сможете восстановить ваши файлы без нашей помощи.
Как оплатить, где взять биткойны?
Покупка Биткойнов зависист от страны, вам лучше всего сделать быстрый поиск в Google, чтобы узнать, как купить Биткойны. Многие из наших клиентов сообщили, что эти сайты работают быстро и надежно:
    Coinmama - https://www.coinmama.com
    Bitpanda - https://www.bitpanda.com
Платежная информация
Количество:
    0,1473766 BTC
Адрес:
    1NFoS7R48iPbvMdgJNe4wSBcXuwWDKX4aP
Дешифровщик станет доступен для загрузки после того, как ваш перевод получит 2 подтверждения в сети Биткойн.



Технические детали

Распространяется с помощью email-спама и вредоносных вложений, обманных загрузок. Внутри zip-файла вложен файл "Eva Richter Bewerbung und Lebenslauf.pdf.exe", который выглядит как резюме в формате PDF. После запуска загружается и устанавливается вредоносное ПО Ordinypt, который делает вид, что шифрует, а на самом деле повреждает файлы с целью получения выкупа. Поврежденные файлы получают случайное расширение и внешне выглядит как зашифрованные. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Все файлы популярных форматов, кроме тех, что в белом списке. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Белый список расширений:
.adv, .ADV, .ani, .ANI, .bat, .BAT, .bin, .BIN, .cab, .CAB, .cmd, .CMD, .com, .COM, .cpl, .CPL, .cur, .CUR, .deskthemepack, .DESKTHEMEPACK, .diagcab, .DIAGCAB, .diagcfg, .DIAGCFG, .diagpkg, .DIAGPKG, .dll, .DLL, .drv, .DRV, .exe, .EXE, .hlp, .HLP, .hta, .HTA, .icl, .ICL, .icns, .ICNS, .ico, .ICO, .ics, .ICS, .idx, .IDX, .ldf, .lnk, .LNK, .lock, .LOCK, .mod, .MOD, .mpa, .MPA, .msc, .MSC, .msi, .MSI, .msp, .MSP, .msstyles, .MSSTYLES, .msu, .MSU, .nls, .NLS, .nomedia, .NOMEDIA, .ocx, .OCX, .prf, .PRF, .psl, .PSL, .rom, .ROM, .rtp, .RTP, .scr, .SCR, .shs, .SHS, .spl, .SPL, .sys, .SYS, .theme, .THEME, .themepack, .THEMEPACK, .wpx, .WPX (92 расширения с дублями в верхнем регистре). 

Белый список файлов:
autorun.inf, boot.ini, bootfont.bin, bootsect.bak, desktop.ini, iconcache.db, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, bootmgr, bootnxt, thumbs.db

Белый список директорий (папок):
windows
recycle.bin
mozilla
google
boot
application data
appdata
program files
program files (x86)
programme
programme (x86)
programdata
perflogs
intel
msocache
system volume information

Файлы, связанные с этим Ransomware:
Eva Richter Bewerbung und Lebenslauf.pdf.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: http://2u6gynsdszbd7ey3.onion/
Email: - 
BTC (генерируется для каждой жертвы): 
В нашем примере: 1NFoS7R48iPbvMdgJNe4wSBcXuwWDKX4aP
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Tomas Meskauskas (PCrisk), Emmanuel_ADC-Soft
 Andrew Ivanov (author)
 Lawrence Abrams and others
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 11 сентября 2019 г.

Hermes837

Hermes837 Ransomware

(шифровальщик-вымогатель) (первоисточник) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Hermes837 или просто Hermes. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.29514
BitDefender -> Trojan.GenericKD.32439125
Avira (no cloud) -> TR/HermesRansom.A
Kaspersky -> Trojan-Ransom.Win32.Crypmod.actb
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXU
Malwarebytes -> Ransom.ProtoHermes
Symantec -> Downloader

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .hermes837


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа - первую половину сентября 2019 г. Штамп времени на файле: 23 августа 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!READ_ME!!!

Содержание записки о выкупе:
ALL YOUR DATA WAS ENCRYPTED
Whats Happen?
Your files are encrypted, and currently unavailable. You can check it- all files on you computer has extension .hermes
By the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
What guarantees?
It's just a business. We absolutely do not care about you and your deals, except getting benefits.
If we do not do our work and liabilities - nobody will not cooperate with us.
It's not in our interests.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key.
In practise - time is much more valuable than money.
What should You include in your message?
1. Your country and city
2. This TXT file
3. Some files for free decryption
Free decryption as guarantee!
Before paying you send us up to 2 files for free decryption.
Send pictures, text files. (files no more than 1mb)
If you upload the database, your price will be doubled 
Email: Hermes837@aol.com
ID: cee02c6d926f2f7d8a63ad06e2dc9a6257082b37***


Перевод записки на русский язык:
Все ваши данные были зашифрованы
Что случилось?
Ваши файлы зашифрованы и в настоящее время недоступны. Вы можете проверить это - все файлы на вашем компьютере имеют расширение .hermes
Кстати, все можно восстановить, но нужно следовать нашим инструкциям. В противном случае вы не сможете вернуть свои данные (НИКОГДА).
Какие гарантии?
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения льгот.
Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать.
Это не в наших интересах.
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ.
На практике время гораздо ценнее денег.
Что Вы должны включить в свое сообщение?
1. Ваша страна и город
2. Этот текстовый файл
3. Некоторые файлы для бесплатной расшифровки
Бесплатная расшифровка как гарантия!
Перед оплатой вы отправляете нам до 2 файлов для бесплатной расшифровки.
Отправляйте картинки, текстовые файлы. (файлы не более 1 МБ)
Если вы загрузите базу данных, ваша цена будет удвоена
Email: Hermes837@aol.com
ID: cee02c6d926f2f7d8a63ad06e2dc9a6257082b37 ***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!READ_ME!!!.txt - файл записки от вымогателей
__lock_XXX__ - файл, содержащий четырехзначное число
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Hermes837@aol.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Hermes837)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 10 сентября 2019 г.

PyLock, PyCrypter

PyLock Ransomware
PyCrypter Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в 5.0 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Номер версии: v2.40. Написан на языке Python. 

Обнаружения:
DrWeb -> Python.Encoder.1
BitDefender -> Generic.Ransom.PyCrypter.93A4C9ED
Malwarebytes -> Ransom.pyLock
Microsoft -> Ransom:Win32/Pccrypter
GData -> Win32.Trojan-Ransom.Cyclon.G
Symantec ->ML.Attribute.HighConfidence, Trojan.Seaduke

© Генеалогия: SystemCrypter >> PyLock (PyCrypter)

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
The important files on your computer have been encrypted with military grade AES-256 bit encryption. Cannot be unlocked without the decryption key. 
* DON'T MODIFY OR RENAME ENCRYPTED FILES, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY!
* DON'T MODIFY ENCRYPTED UNIQUE KEY, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY!
* DON'T USE THIRD-PARTY OR PUBLIC TOOLS/SOFTWARE TO DECRYPT YOUR FILES, THIS CAUSE DAMAGE YOUR FILES PERMANENTLY!
To acquire this key, transfer the Bitcoin Fee to the specified wallet address before the time runs out, for instructions: solutionshelp@protonmail.com
If you fail to take action within this time window, the decryption key will be destroyed and access to your files will be permanently lost.

Перевод записки на русский язык:
Важные файлы на вашем компьютере зашифрованы с AES-256-битного шифрования военного уровня. Невозможно разблокировать без ключа дешифрования.
* НЕ ИЗМЕНЯЙТЕ И НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ, ЭТО МОЖЕТ НАВСЕГДА ПОВРЕДИТЬ ВАШИ ФАЙЛЫ!
* НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЙ УНИКАЛЬНЫЙ КЛЮЧ, ЭТО НАВСЕГДА ПОВРЕДИТ ВАШИ ФАЙЛЫ!
* НЕ ИСПОЛЬЗУЙТЕ СТОРОННИЕ ИЛИ ПУБЛИЧНЫЕ ИНСТРУМЕНТЫ / ПРОГРАММЫ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ЭТО МОЖЕТ ПРИВЕСТИ К ПОВРЕЖДЕНИЮ ВАШИХ ФАЙЛОВ НАВСЕГДА!
Чтобы получить этот ключ, переведите плату в биткойнах на указанный адрес кошелька до истечения времени, для инструкций: solutionshelp@protonmail.com
Если вы не сделаете никаких действий за отведенное в окне время, ключ дешифрования будет уничтожен, а доступ к вашим файлам будет окончательно потерян.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


 Этот Ransomware представляет собой скрипт на языке Python, который преобразуется в исполняемый файл. Затем он открывает "заднюю дверь" на скомпрометированном компьютере, позволяя злоумышленнику выполнить следующие действия:
- загрузить и запустить файлы;
- удалить рабочие файлы после шифрования;
- создать ярлык в Автозагрузки системы.

  Использует Windows PowerShell. 

 Деструктивные действия:
- отключает Диспетчер задач;
- добавляется в автозагрузку Windows (%UserProfile%\Start Menu\Programs\Startup);
- удаляет теневые копии файлов

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3g2, .3gp, .7z, .accdb, .ai, .aif, .apk, .app, .arc, .asf, .asp, .aspx, .avi, .bak, .bat, .bmp, .c, .cbr, .cer, .cfg, .cfm, .cgi, .chk, .class, .com, .cpp, .cs, .css, .csv, .dat, .db, .dbf, .dds, .deb, .dem, .dif, .doc, .docm, .docx, .dotm, .dotx, .DTC, .Edb, .eps, .flv, .fnt, .fon, .fpx, .gam, .ged, .ged, .gif, .gz, .h, .htm, .htm, .html, .html, .ics, .iff, .indd, .ini, .iso, .j2c, .j2k, .java, .jfif, .jif, .jp2, .jpeg, .jpg, .jpx, .js, .json, .jsp, .key, .keychain, .ldf, .log, .lua, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mht, .mhtml, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .msi, .ndf, .nes, .obj, .ods, .odt, .old, .otf, .pages, .pcd, .pct, .pdf, .php, .pkg, .pl, .png, .pps, .ppt, .pptx, .prf, .prn, .ps, .psd, .py, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sh, .slk, .sln, .sql, .srt, .svg, .svg, .swf, .swift, .tar, .tex, .tga, .tgz, .thm, .tif, .tif, .tiff, .tiff, .tmp, .torrent, .trn, .ttf, .txt, .vb, .vcf, .vcxproj, .vhd, .vhdx, .vob, .wav, .wma, .wmv, .wpd, .wps, .xhtml, .xla, .xlam, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xml, .xps, .yuv, .zip, .zipx (177 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Максимальный размер файла для шифрования: 900000

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название вредоносного файла
Crypto.Util._counter.pyd
pywintypes27.dll
wxmsw30u_html_vc90.dll
select.pyd
Crypto.Util.strxor.pyd
lock.bmp
bitcoin.bmp
runtime.cfg
Main.exe.manifest

Содержание файла конфигурации runtime.cfg:
 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Local\Temp\_MEI40202\Crypto.Util._counter.pyd
C:\Users\admin\AppData\Local\Temp\_MEI40202\pywintypes27.dll
C:\Users\admin\AppData\Local\Temp\_MEI40202\wxmsw30u_html_vc90.dll
C:\Users\admin\AppData\Local\Temp\_MEI40202\select.pyd
C:\Users\admin\AppData\Local\Temp\_MEI40202\Crypto.Util.strxor.pyd
C:\Users\admin\AppData\Local\Temp\_MEI40202\lock.bmp
C:\Users\admin\AppData\Local\Temp\_MEI40202\bitcoin.bmp
C:\Users\admin\AppData\Local\Temp\_MEI40202\runtime.cfg
C:\Users\admin\AppData\Local\Temp\_MEI40202\Main.exe.manifest
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: solutionshelp@protonmail.com
BTC: bc1qz7llcz9s6cwnw7qvwdw8yt77h6cuf546s00dfw
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

SystemCrypter Ransomware - июнь 2019
PyLock (PyCrypter) Ransomware - сентябрь 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 - Видеообзор, сделанный с помощью ANY.RUN 
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton