суббота, 30 марта 2019 г.

Marozka

Marozka Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: Marozka. На файле написано: Marozka.exe.

© Генеалогия: HiddenTear >> Marozka


Marozka Ransomware

К зашифрованным файлам добавляется расширение: .Marozka

Этимология названия:
На сайте вымогателей написано, что это якобы сделали совместно российские и американские хакеры. В такой тандем не верится хотя бы потому, что в названии Marozka сделано сразу две ошибки. Правильный вариант, который бы написали даже самые малограмотные хакеры, назывался бы, как оригинальный кинофильм - "Морозко". Трудно найти российского и постсоветского человека, который сделал бы в названии сразу две ошибки. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец марта 2019 г. Штамп времени: 27 марта 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt
Marozka Ransomware note записка

Содержание записки о выкупе:
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted .Marozka.
This form files '.Marozka' is a joint development ENGLISH and RUSSIAN Hackers.
You can only recover files using a decryptor and password, which, in turn, only we know.
It is impossible to pick it up.
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password
In no case do not modify the files! But if you want, then make a backup.
Drop us an email at the address silena.berillo@gmail.com
if within 12 hours you do not respond to hto2018@yandex.ru for further insertions
You have 24 hours left. If they are not decrypted then after 24 hours they will be removed!!!
You can also decrypt files automatically on our website
 https://proverka.host

Перевод записки на русский язык (грамотность оригинала!):
Вся ваша информация (документы, базы данных, резервные копии и другие файлы) этого компьютера была зашифрована с самыми криптографическими алгоритмами.
Все зашифрованные файлы отформатированы .Marozka.
Эта форма файлов '.Marozka* является совместной разработкой ENGLISH и RUSSIAN Hackers.
Вы можете восстановить файлы только с помощью расшифровщика и пароля, которые, в свою очередь, знаем только мы.
Это невозможно подобрать.
Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не сможет решить эту проблему, не зная пароля
Ни в коем случае не изменяйте файлы! Но если хочешь, то сделай бэкап.
Напишите нам на email по адресу silena.berillo@gmail.com
если в течение 12 часов вы не ответите, то на hto2018@yandex.ru для дальнейших вставок
У вас осталось 24 часа. Если они не расшифрованы, то через 24 часа они будут удалены !!!
Вы также можете расшифровать файлы автоматически на нашем сайте
https://proverka.host

Другим информатором жертвы является изображение с текстом, заменяющее обои Рабочего стола. 
Marozka Ransomware
Рабочий стол после атаки Marozka Ransomware
Marozka Ransomware wallpapper обои
Оригинальное изображение Marozka.jpg


Скриншоты с сайта MAROZKA-DECRYPTOR, где вымогатели предлагают купить дешифровщик, показывают напоминание вымогателей о том, что купить дешифровщик (декриптор) нужно в течение 24 часов. 
Marozka Ransomware site сайт
Marozka Ransomware site сайт
Содержание текст с этого сайта:
MAROZKA-DECRYPTOR
CAREFULLY READ THE INSTRUCTIONS BELOW. DECRYPTION COST IS $ 100.
YOU NEED TO HURRY
LET ME REMIND YOU HAVE 24 HOURS
CHOOSE ONE OF THE PROPOSED DECRYPTION METHODS 1.WRITE TO US 2.OR MAKE THE PAYMENT YOURSELF. INSTRUCTIONS BELOW.
Enter your name
Enter your E-mail
Computer name (C :\\'User'\)
 WRITE TO US
MAROZKA PROGRAM WAS DEVELOPED 
JOINTLY BY RUSSIAN AND AMERICAN DEVELOPERS
Only our program can decrypt files. 
Any independent attempts to decrypt files will delete them once and for all.
---
PAYMENT
Make a payment of 100 US dollars.
On the bitcoin wallet 1NKtjyNax9cQuMYxLXfHWEKwRHac6gTeHc
Then you will be given a program and a key.
---
PAYMENT PROCEDURE
When paying in the form of a comment, enter your email address (email), after successful payment the program and password will be sent to decrypt.
---
FILE DECRYPTION
Specify the received password after payment and press the button to decrypt the files. Then all files are decrypted.
---

You can also buy the source code of the programs by writing to us.


Сайт вымогателей hide-hide-hide.000webhostapp.com размещен на временном хостинге. Туда можно зайти и просмотреть все папки и файлы. 
Marozka Ransomware site сайт 
 


Скриншоты с временного сайта вымогателей




Технические детали

Распространяется как фальшивый PDF-файл. Используются два сайта, один расположен на временном хостинге, другой специально зарегистрирован. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.001, .7-zip, .ace, .apk, .arj, .asp, .aspx, .avi, .bmp, .bz2, .c, .cab, .contact, .core, .cpp, .crproj, .cs, .csv, .dat, .db, .dll, .doc, .docx, .dwg, .exe, .f3d, .gzip, .htm, .html, .ico, .iso, .jar, .jpg, .lnk, .lzh, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .pas, .pdb, .pdf, .php, .png, .ppt, .pptx, .psd, .py, .rar, .rtf, .settings, .sln, .sql, .tar, .torrent, .txt, .uue, .xls, .xlsx, .xml, .xz, .z, .zip (67 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы контактов, ярлыки и пр.

Целевые директории для шифрования:
"Desktop"; "Links"; "Contacts"; "Documents"; "Downloads"; "Pictures"; "Music";  "OneDrive"; "Saved Games";  "Favorites"; "Searches"; "Videos"

Файлы, связанные с этим Ransomware:
Marozka.zip - файл находится на сайте
Marozka.exe - находится внутри архива
Marozka.jpg - загружается и устанавливается с сайта
HOW TO DECRYPT FILES.txt - записка о выкупе
<random>.exe - случайное название
Marozka Ransomware file файл
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL декриптора: xxxxs://proverka.host/
URL вымогателей: xxxxs://hide-hide-hide.000webhostapp.com
URL изображения: xxxxs://hide-hide-hide.000webhostapp.com/hide/Marozka.jpg
Email: silena.berillo@gmail.com, hto2018@yandex.ru
BTC: 1NKtjyNax9cQuMYxLXfHWEKwRHac6gTeHc
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 🎥 Video review >>
 - Видеоролик от CyberSecurity GrujaRS
 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov (author)
 Thyrex
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

1 комментарий:

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано. Чтобы написать комментарий, вы должны иметь аккаунт Google.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана. Каб напісаць каментар, вы павінны мець аккаунт Google.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано. Щоб написати коментар, ви повинні мати акаунт Google.

ПАЖЊА!!!
Нови коментари су модерирани. Све, осим спама, ускоро ће бити објављено. Да бисте напишете коментар, морате да имате Google рачун.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады. Пікір жазу үшін сізге google тіркелгісі болуы керек.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted. To write here a comment, you must have a Google account.

BEACHTUNG!!!
Ihr neuer Kommentar wird moderiert. Wiederhole es bitte nicht. Spam wird gelöscht. Um hier einen Kommentar zu schreiben, benötigen Sie ein Google-Konto.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

এটা পড়ুন !!!
আপনার নতুন মন্তব্য সংযত করা হবে। এটা পুনরাবৃত্তি করবেন না দয়া করে। স্প্যাম মুছে ফেলা হবে।

انتباه!
سيتم الإشراف على تعليقاتك الجديدة. لا تكررها من فضلك. سيتم حذف الرسائل غير المرغوب فيها.

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton