пятница, 8 февраля 2019 г.

Clop

Clop Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Clop (указано в записке). На файле написано: clop.exe

Обнаружения: 
DrWeb -> Trojan.Encoder.27194, Trojan.Encoder.27233, Trojan.Encoder.27240, Trojan.Encoder.27264, Trojan.Encoder.27281, Trojan.Encoder.27487
BitDefender -> Trojan.GenericKD.31662115, Trojan.GenericKD.31683253, Trojan.GenericKD.31706378
Kaspersky -> Trojan-Ransom.Win32.Encoder.bmd, Trojan.Win32.Zudochka.bl, Trojan-Ransom.Win32.KlopRansom.g, Trojan-Ransom.Win32.KlopRansom.t
Malwarebytes -> Ransom.CryptoMix, Ransom.Clop
VBA32 -> Trojan.Zudochka, Malware-Cryptor.TDSS, TrojanRansom.KlopRansom

© Генеалогия: CryptoMix >> схожие предыдущие Ransomware >> Clop
Изображение - это только логотип статьи

К зашифрованным файлам добавляется расширение: .Clop

Этимология названия: 
Clop - это по-русски "клоп" (англ. bed bug, crum), насекомое сосущее кровь человека и животных. 
К образу жизни этого клопа-вредоноса можно применить сравнительную аналогию: этот Clop Ransomware как кровосос "высасывает" чужие сертификаты и использует их для своей защиты от обнаружения антивирусной защитой. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ClopReadMe.txt

Содержание записки о выкупе:
Your network has been penetrated.
All files on each host in the network have been encrypted with a strong algorithm.
Backups were either encrypted or deleted or backup disks were formatted.
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
We exclusively have decryption software for your situation
No decryption software is available in the public.
DO NOT RESET OR SHUTDOWN – files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.
This may lead to the impossibility of recovery of the certain files.
Photorec, RannohDecryptor etc. repair tools are useless and can destroy your files irreversibly.
If you want to restore your files write to emails (contacts are at the bottom of the sheet) and attach 2-3 encrypted files
(Less than 5 Mb each, non-archived and your files should not contain valuable information
(Databases, backups, large excel sheets, etc.)).
You will receive decrypted samples and our conditions how to get the decoder.
Attention!!!
Your warranty - decrypted samples.
Do not rename encrypted files.
Do not try to decrypt your data using third party software.
We don`t need your files and your information.
But after 2 weeks all your files and keys will be deleted automatically.
Contact emails:
servicedigilogos@protonmail.com
or
managersmaers@tutanota.com
The final price depends on how fast you write to us.
Clop

Перевод записки на русский язык:
Ваша сеть взломана.
Все файлы на каждом хосте в сети были зашифрованы с надежным алгоритмом.
Резервные копии были либо зашифрованы, либо удалены, либо диски отформатированы.
Теневые копии также удалены, поэтому F8 или любые другие методы могут повредить зашифрованные данные, но не восстановить.
У нас есть эксклюзивная программа для вашей ситуации
В открытом доступе программа для расшифровки не доступна.
НЕ СБРАСЫВАЙТЕ ИЛИ НЕ ВЫКЛЮЧАЙТЕ - файлы могут быть повреждены.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ИЛИ НЕ ПЕРЕМЕЩАЙТЕ зашифрованные и файлы readme
НЕ УДАЛЯЙТЕ файлы readme.
Это может привести к невозможности восстановления определенных файлов.
Инструменты восстановления Photorec, RannohDecryptor и т.д. бесполезны и могут безвозвратно уничтожить ваши файлы.
Если вы хотите восстановить ваши файлы, пишите на email (контакты внизу листа) и прикрепляйте 2-3 зашифрованных файла.
(Менее 5 Мб каждый, не архивы и ваши файлы не должны содержать ценную информацию
(Базы данных, резервные копии, большие таблицы Excel и т.д.)).
Вы получите расшифрованные образцы и наши условия, как получить декодер.
Внимание!!!
Ваша гарантия - расшифрованные образцы.
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ.
Нам не нужны ваши файлы и ваша информация.
Но через 2 недели все ваши файлы и ключи будут удалены автоматически.
Контактные email:
servicedigilogos@protonmail.com
или же
managersmaers@tutanota.com
Окончательная цена зависит от того, как быстро вы напишите нам.
Clop



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск. 

 Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin Delete Shadows /all /quiet
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled No

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
clop.exe
ClopReadMe.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Мьютекс:
CLOP#666

Маркер, который используется для зашифрованных файлов.

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: servicedigilogos@protonmail.com, managersmaers@tutanota.com
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >> VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


CryptoMix Family: апрель 2016 ~ август 2018, апрель 2019
Clop Ransomware - февраль, март, май, июль 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 15 февраля 2019:
Пост в Твиттере >>
Расширение: .Clop
Email: antnony.blackmer@protonmail.com, unlock@eqaltech.su
Записка: ClopReadMe.txt
Результаты анализов: VT
Использует легитимный сертификат, выданный на "ALISA L LIMITED"


Обновление от 16 февраля 2019:
Пост в Твиттере >>
Расширение: .Clop
Email: icarsole@protonmail.com, unlock@eqaltech.su
Записка: ClopReadMe.txt
Файлы EXE: swaqp.exe, gmontraff.exe
Результаты анализов: VT + HA
Использует легитимный сертификат, выданный на "THE COMPANY OF WORDS LTD"
Фальш-копирайт: Global Security IBM NetWork (C) 1997 -2019


Обновление от 21 февраля 2019:
Пост в Твиттере >>
Расширение: .Clop
Email: unlock@eqaltech.su
Записка: ClopReadMe.txt
Использует легитимный сертификат, выданный на "MAN TURBO (UK) LIMITED"
Мьютекс: FanyFany666
Результаты анализов: VT + HA

Обновление от 2 марта 2019:
Пост в Твиттере >>
Email: unlock@eqaltech.su, unlock@royalmail.su, kensgilbomet@protonmail.com
Записка: ClopReadMe.txt или CIopReadMe.txt, где в названии буква "l" заменена на большую букву "I". 
Используется новый мьютекс: ^_-HappyLife^_-
Результаты анализов: VT + VMR + VT + HA + JSB
Использует легитимный сертификат, выданный на MEGAPOLIS SERVICES LTD

Обновление от 4 мая 2019:
Пост в Твиттере >>
Email: cersiacsofal@protonmail.com, unlock@eqaltech.su, unlock@royalmail.su
Результаты анализов: VT
Используется новый мьютекс: MakeMoneyWorld
Использует легитимный сертификат, выданный на REBROSE LEISURE LIMITED
Текстовая версия >>

Обновление от 27 июля 2019:
Пост в Твиттере >>
Email: unlock@goldenbay.su, unlock@graylegion.su
Используется новый мьютекс: MakeMoneyFromAirEathUorld#666



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tweet
 ID Ransomware (ID as Clop)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Jakub Kroustek, MalwareHunterTeam
 Andrew Ivanov (author)
 Vitali Kremez
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton