Если вы не видите здесь изображений, то используйте VPN.

понедельник, 20 мая 2019 г.

BulbaCrypt HT

BulbaCrypt HT Ransomware 

MarozkaTear Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Bulba, ss.exe и God.exe

Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Generic.Ransom.Hiddentear.A.*
Symantec -> Ransom.HiddenTear!g1
ALYac -> Trojan.Ransom.BulbaCrypt

© Генеалогия: HiddenTear >> Marozka > BulbaCrypt > HermesCrypt



К зашифрованным файлам добавляется расширение: .Crypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted .Crypted.
This form files '.Crypted' is a joint development American Hackers.
You can only recover files using a decryptor and password, which, in turn, only we know.
It is impossible to pick it up.
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password
In no case do not modify the files! But if you want, then make a backup.
Drop us an email at the address india2lock@gmail.com
You have 48 hours left. If they are not decrypted then after 48 hours they will be removed!!!

Перевод записки на русский язык:
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) этого компьютера была зашифрована, используя самые криптографические алгоритмы.
Все зашифрованные файлы имеют формат .Crypted.
Эта форма файлов '.Crypted' является совместной разработкой American Hackers.
Вы можете восстановить файлы только используя расшифровщик и пароль, которые, в свою очередь, знаем только мы.
Подобрать это невозможно.
Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не может решить эту проблему, не зная пароля
Ни в коем случае не изменяйте файлы! Но если хочешь, то сделай бэкап.
Напишите нам письмо на адрес india2lock@gmail.com
У вас осталось 48 часов. Если они не расшифрованы, то через 48 часов они будут удалены !!!

Запиской с требованием выкупа также выступает экран блокировки.

Содержание текста на экране:
Hello - admin
Your computer name - USER-PC
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted ".Crypted".
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password.
Click the tab "Decryption instructions" and follow the instructions

Перевод текста на русский язык:
Привет - admin
Имя вашего компьютера - USER-PC
Вся ваша информация (документы, базы данных, резервные копии и другие файлы) этого компьютера была зашифрована, используя самые криптографические алгоритмы.
Все зашифрованные файлы имеют формат ".Crypted".
Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не может решить эту проблему, не зная пароля.
Нажмите на вкладку "Инструкции по расшифровке" и следуйте инструкциям

---

Скриншоты с другими вкладками экрана блокировки. 




Скриншоты с сайта ethclicks.live, который теперь заблокирован, показывают то, что там было.  
Этот сайт занимался мошенничеством,  обещавшим заработать вам криптовалюту Ethereum, если вы будет направлять других людей на их сайт. В их FAQ, говорится, что за 100 посещений по вашей реферальной ссылке, вы заработаете 0.3 Ethereum, что стоит примерно 75 долларов США. Соответственно, за 1000 визитов будет 3 Ethereum (750$). 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Вредоносная атака сопровождается работой трояна-инфостилера (похитителя паролей), который обнаруживается половиной антивирусных движков на сайте VirusTotal. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ss.exe
HOW TO DECRYPT FILES.txt
Decrypter.exe
BotCollector.exe - троян, который притворяется генератором биткоинов, но просто запускает вредоносное ПО.
<random>.exe - случайное название вредоносного файла
ransom.jpg


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://ethclicks.live
xxxx://ethclicks.live/lo/write.php
xxxx://ethclick.live/ss.exe - payload
xxxx://ethclicks.live/lo/index.html - Panel
Email: india2lock@gmail.com
BTC: 1Whw7gqqi9GeqHixPvgMNo2aiHSSEyPvT
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >> 
𝚺  VirusTotal analysis на файл Decrypter.exe >> 
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>  AR>>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Marozka Ransomware - март 2019
BulbaCrypt Ransomware - май 2019
HermesVirus HT Ransomware - май 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 27 мая 2019:
Новые ссылки на аналогичные сайты: 
xxxx://ethchain.live/BotCollector.zip
xxxx://ethchain.live/1.exe
xxxx://ethmoney.live/BotCollector.zip
xxxx://ethmoney.live/1.exe
xxxx://ethcrypto.live/BotCollector.zip
xxxx://ethcrypto.live/1.exe
xxxx://ethpromo.live/BotCollector.zip
xxxx://ethpromo.live/1.exe
xxxx://ethmoney.club/BotCollector.zip
xxxx://ethmoney.club/1.exe
Скриншоты с главной страницы с информацией. 

Обновление от 9 июля 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .CROWN
Записка: HOW TO DECRYPT FILES.txt 
Также используется экран блокировки. 
Email: hghtllfh77137@gmail.com
Файл EXE: God.exe
Результаты анализов: VT + AR + IA
➤ Содержание текстовой записки: 
All your information (documents, databases, backups and other files) on this computer has beenencrypted using the most cryptographic algorithms.
All encrypted files are formatted .CROWN.
This form files .CROWN is a joint development American Hackers.
No system administrator in the world can solve this problem without knowing the password

Drop us an email at the address hghtllfh77137@gmail.com with your PC name
---
 
 


Обновление от 11 июля 2019:
Расширение: .Pox
Записка: HOW TO DECRYPT FILES.txt
Email: vpsimf@gmail.com
URL: xxxx://maper.info
xxxx://kingswagy.ru/Decrypter.exe
xxxx://kingswagy.ru/ransom.jpg
Результаты анализов: VT + VMR + AR

➤ Содержание текстовой записки: 
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted .Pox.
This form files '.Pox' is a joint development American Hackers.
You can only recover files using a decryptor and password, which, in turn, only we know.
It is impossible to pick it up.
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password
In no case do not modify the files! But if you want, then make a backup.
Drop us an email at the addres vpsimf@gmail.com
You have 48 hours left. If they are not decrypted then after 48 hours they will be removed!!!




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
ID Ransomware (ID as HiddenTear)
Write-up, Topic of Support
Added later:
Write-up (added on May 26, 2019)
Write-up
Write-up
Thanks:
Frost, Petrovic, JAMESWT, Michael Gillespie
Andrew Ivanov (author) *
to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *