BRCrypt

BRCrypt Ransomware

bRcrypT Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BRCrypt или bRcrypT. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> BRCrypt (bRcrypT) 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .bRcrypT


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: FILES ENCRYPTED.txt

Содержание записки о выкупе:
Hello, dear friend! 
================================================= 
1- [All your files have been ENCRYPTED!] 
Your files are NOT damaged! Your files are modified only. 
The only way to decrypt your files is to receive the decryption program. 
your files can not be decrypted without the special program we made it for your computer. 
================================================= 
2- [ HOW TO RETURN FILES? ] 
To receive the decryption program Write to our email "jjcrypor@gmail.com" 
and tell us your unique ID 
Your unique ID : "public ip server" 
================================================= 
3- [ FREE DECRYPTION! ] 
Free decryption as guarantee. 
We guarantee the receipt of the decryption program after payment. 
To believe, you can give us 1 file that must be less than 1MB and we decrypt it for free. 
File should not be important to you! databases, backups, large excel sheets, etc. 
================================================= 
4- [ Instruction ] 
the easiest way to buy bitcoins is LocalBitcoins site. you have to register, click "buy bitcoins" 
and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
================================================= 
CAUTION! 
please do not change the name of files or file extension if your files are important to you!

Перевод записки на русский язык:
Привет, дорогой друг!
=================================================
1- [Все твои файлы зашифрованы!]
Твои файлы НЕ повреждены! Твои файлы только изменены.
Единственный способ расшифровать твои файлы - получить программу дешифрования.
ваши файлы не могут быть расшифрованы без специальной программы, которую мы сделали для вашего компьютера.
=================================================
2- [КАК ВОЗВРАТИТЬ ФАЙЛЫ? ]
Чтобы получить программу дешифрования, напиши нам на email "jjcrypor@gmail.com"
и сообщи нам свой уникальный ID
Твой уникальный ID: "публичный IP-сервер"
=================================================
3- [БЕСПЛАТНАЯ РАСШИФРОВКА! ]
Бесплатная расшифровка как гарантия.
Гарантируем получение программы дешифрования после оплаты.
Чтобы поверить, ты можешь дать нам 1 файл размером менее 1 МБ, и мы расшифруем его бесплатно.
Файл не должен быть важен для тебя! базы данных, бэкапы, большие таблицы Excel и т.д.
=================================================
4- [Инструкция]
Самый простой способ купить биткойны - это сайт LocalBitcoins. надо зарегистрироваться, нажать "buy bitcoins" 
и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
=================================================
ВНИМАНИЕ!
пожалуйста, не меняй имена файлов или расширения файлов, если твои файлы важны для тебя!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Вероятно, вместо шифрования просто стирает несколько байт в начала каждого файла. 

Файлы, связанные с этим Ransomware:
FILES ENCRYPTED.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jjcrypor@gmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Andrew Ivanov (author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.