Если вы не видите здесь изображений, то используйте VPN.

четверг, 27 июня 2019 г.

MorrisBatchCrypt, MorrisBAT

MorrisBatchCrypt Ransomware

MorrisBAT Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES-256 (режим CBC) и RSA-2048, а затем требует выкуп в 4 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: MorrisBatchCrypt > InfoDot 


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .info@morris2uk.com
Также используется составное расширение: .bin.info@morris2uk.com 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июня 2019 г., но пострадавшие сообщают, что атаки были также в мае. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: help to decrypt.html

Содержание записки о выкупе:
Your files encrypted with aes and rsa
DON'T DELETE .BIN.ENCRYPTED FILES
You can get decryption software if you pay 4 Bitcoins to this bitcoin wallet: 1CRy2Rpw5HHXJ3YSGyyFW1CawNQvFzEXpJ
When you paid, email the transaction ID to this email: info@morris2uk.com
You can decrypt 3 files before pay any amount, Send your ecrypted files to above email

Перевод записки на русский язык:
Ваши файлы зашифрованы с AES и RSA
НЕ УДАЛЯЙТЕ ЗАШИФРОВАННЫЕ .BIN-ФАЙЛЫ
Вы можете получить программу для дешифровки, заплатив 4 биткоина за этот биткоин-кошелек: 1CRy2Rpw5HHXJ3YSGyyFW1CawNQvFzEXpJ
Когда вы заплатите, отправьте ID транзакции на этот email: info@morris2uk.com
Вы можете расшифровать 3 файла до оплаты любой суммы, Отправьте зашифрованные файлы на email выше.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
help to decrypt.html
<random>.exe - случайное название вредоносного файла
publickey.pem
star_c.bat 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Маркер файлов:
SALTED__

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: info@morris2uk.com
BTC: 1CRy2Rpw5HHXJ3YSGyyFW1CawNQvFzEXpJ
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as MorrisBatchCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

FreeMe, Freezing

FreeMe Ransomware

Freezing Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: FreeMe.exe

Обнаружения: 
DrWeb -> Trojan.Encoder.28632
BitDefender -> Trojan.GenericKD.32087672
Symantec -> ML.Attribute.HighConfidence
VBA32 -> CIL.StupidCryptor.Heur
ESET-NOD32 -> MSIL/Filecoder.TG

© Генеалогия: предыдущие однотипные вымогатели >> FreeMe

Изображение — логотип статьи

К зашифрованным файлам добавляется следующие расширения: 
.Freezing - во время шифрования файлы
.FreezedByWizard - по окончании шифрования файла

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июня 2019 г. Штамп времени: 22 июня 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи нет никаких данных о массовом распространении. 

Записка с требованием выкупа называется: .FreezedByMagic.README.txt
Файл записки может не находиться обычным способом. 

Содержание записки о выкупе:
Do not panic!
All your files, documents, photos, databases and other important files are encrypted and have the extension: {Extension}
The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
Contact us by e-mail in 7 days <{Email}> or your key will be deleted permanently.
God bless you!

Перевод записки на русский язык:
Не паникуйте!
Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: {Extension}
Единственный способ восстановления файлов - это покупка уникального закрытого ключа.
Только мы можем дать вам этот ключ, и только мы можем восстановить ваши файлы.
Свяжитесь с нами по email в течение 7 дней <{Email}> или ваш ключ будет удален навсегда.
Бог благословит вас!


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Подробности о шифровании:

Этот шифровальщик генерирует безопасный ключ для AES и защищает его с помощью открытого ключа ECDH.

➤ Деструктивные действия:
Действия выглядят как кража личных данных
Переименовывает файлы, как обычно Ransomware
Создает файлы в каталоге программы
Создает файлы в пользовательском каталоге
Выполняет сценарий PowerShell 

➤ Связан с другими вредоносными программами (вредоносные загрузчики, майнеры криптовалюты, похитители паролей и прочее). 

Список файловых расширений, подвергающихся шифрованию:
Большинство популярных форматов. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FreeMe.exe
powershell.exe
<random>.exe - случайное название вредоносного файла
.FreezedByWizard.log
.FreezedByMagic.log
.FreezedByMagic.README.txt
372f04007fc6254d033c2d89da36b63741e00c800dfc8ccd9ce7b814e7b8162a.zip.ps1
f6b1d9d4c1519de89224ceaaeafd95e2dd5dd8f0aabe01c207b9958b12fe4df2.ps1

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\.FreezedByWizard.log
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" "-file" "C:\Users\admin\AppData\Local\Temp\f6b1d9d4c1519de89224ceaaeafd95e2dd5dd8f0aabe01c207b9958b12fe4df2.ps1

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: FreeWizard9@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>  HA>>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23 июля 2019:
Расширение: .HelloAgain
Email: FreeWizard9@protonmail.com
➤ Содержание записки: 
Hello again
Do not panic!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .HelloAgain
The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
Contact us by e-mail in 7 days <FreeWizard9@protonmail.com> or your key will be deleted permanently.
God bless you!
----------------------------------------------------------------------------------------






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as FreeMe)
 Write-up, Topic of Support
 *
  - Видеобзор работы FreeMe Ransomware, сделанный с помощью сервиса ANY.RUN
 Thanks: 
 Petrovic, Michael Gillespie
 Andrew Ivanov (author), ANY.RUN
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 25 июня 2019 г.

PZDC

PZDC Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные на серверах с помощью GNU Privacy Guard (GnuPG), а затем требует выкуп в 100 Monero, чтобы вернуть файлы. По словам самих вымогателей, ориентирован на любые базы данных, которые могут быть найдены в компьютере. Оригинальное название: в записке не указано. На файле написано: нет данных. 

© Генеалогия: предыдущие GnuPG-вымогатели > PZDC


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .pzdc

Этимология названия:
Вымогатели никак не назвали свой шифровальщик, поэтому для названия статьи по традиции было использовано расширение .pzdc, добавляемое к зашифрованным файлам. Слово, скрытое в расширении, понятно любому, кто знаком с русским языком. Фактически оно является международным, но не переводится ни на один язык буквально и в полном соответствии со своим значением. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину - вторую половину июня 2019 г. Первый случай шифрования произошел 14-15 июня. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру. 
Предлагает использовать для связи специальный "ящик" на подпольном сайте Runion. 

Записка с требованием выкупа называется: 1_VIRUS_SHIFROVALSHIK.txt


Содержание записки о выкупе (грамота оригинала):
Здраствуй дорогой друг! Хочу поделиться с тобой успехами нашей команды. Мы вышли на новый уровень в своем мастерстве и теперь мы шифруем только базы данных и то что похоже на их резервные копии. Нам больше не нужны фотографии, документы Ворд, Эксель и прочая информация. Мы собираем деньги только с богатых людей. Если в этот момент ты смотрел ютьюб или порнхаб на своем домашнем десктопе и увидел это сообщение не переживай, мы не тронули твои файлы. Удали этот файл и больше не открывай письма от незнакомых адресов с вложениями. Извини что на**али в твой десктоп.
________________________________________________________________
Если ты тот самый успешный менеджер... Чувак тебе не повезло))) В твоей команде есть глупые люди и за их глупость нужно платить. Нам не нужны биткоины, мы принимаем только монэро. Если тебе дороги твои базы давай договариваться. Мы готовы выслать тебе дешифратор за символическую сумму в 100 Monero(XMR). Для этого тебе необходимо связаться с нами через Tor браузер. Нужно зайти на сайт Runion http://lwplxqzvmgu43uff.onion/ после чего на вкладках найти значок ящика. Чтобы ты не заблудился вкладок всего 7: Манифест, Правила, Связь с Администрацией, Runion Wiki и ящик который тебе нужен.В строке получателя введи этот адрес bbfd729a5a2f. Не закрывай окно ящика или сохрани ссылку которая подсвечивается зеленым цветом в строке "доступ к вашим сообщениям по этой ссылке, сохраните ее и держите в секрете". Если готов к диалогу то обязательно сохрани это публичный ключ
-----BEGIN PGP PUBLIC KEY BLOCK-----mQINBFyUjfsBEAC+wIFzIPHWA8eph8RJZkx6BjLXDrWY4PZd03tfMa8PM6IzlxeeELgX/jqUWJ1BKyPqW12+12hwpaK5ZO6gNalCZ2wLEq/Pt5y5t1VKhtNGrD65Q4mB/IjJDw/lG3HzyjDcs+0ehHX9THzkAuGAgLmarniFvi8hj8mz5GEgtUR***kn+my5XmcYeGXoKYLE29bNgsr2T=MC9N-----END PGP PUBLIC KEY BLOCK----- 
По этому ключу мы сможем конкретно для тебя выпустить твой личный дешифратор. Пиши и мы скажем на какой кошелек нужно перевести Monero, где ее купить и какой кошелек для этого лучше всего использовать. Если для тебя все это слишком сложно обратись к своим IT специалистам они в этом разбираются. 
________________________________________________________________
Hello dear friend! I want to share with you the success of our team. We have reached a new level in our skills and now we only encrypt databases and what looks like their backup copies. We no longer need photos, documents Word, Excel and other information. We collect money only from rich people. If at that moment you watched YouTube or PornHub on your home desktop and saw this message, don’t worry, we didn’t touch your files. Delete this file and do not open any more letters from unknown addresses with attachments. Sorry I didn't give a shit about your desktop.
________________________________________________________________
If you're the same successful manager ... Dude, you're out of luck))) There are stupid people in your team and you have to pay for their stupidity. We don't need bitcoins, we only accept monero. If you value your bases, let's negotiate. We are ready to send you a decoder for a symbolic sum of 100 Monero (XMR). To do this, you need to contact us through the Tor browser. You need to go to the site Runion http://lwplxqzvmgu43uff.onion/ and then on the tabs to find the box icon. So that you do not get lost tabs total 7: Manifest, Rules, Communication with the Administration, Runion Wiki and the box you need. In the recipient line, enter this address bbfd729a5a2f. Do not close the mailbox window or save the link which is highlighted in green in the line "access your messages via this link, save it and keep it secret". If you are ready for dialogue, be sure to save this public key.
-----BEGIN PGP PUBLIC KEY BLOCK-----mQINBFyUjfsBEAC+wIFzIPHWA8eph8RJZkx6BjLXDrWY4PZd03tfMa8PM6IzlxeeELgX/jqUWJ1BKyPqW12+12hwpaK5ZO6gNalCZ2wLEq/Pt5y5t1VKhtNGrD65Q4mB/IjJDw/lG3HzyjDcs+0ehHX9THzkAuGAgLmarniFvi8hj8mz5GEgtUR***kn+my5XmcYeGXoKYLE29bNgsr2T=MC9N-----END PGP PUBLIC KEY BLOCK----- 
According to this key, we can release your personal decoder specifically for you. Write and we will tell on which wallet you need to transfer Monero, where to buy it and which wallet for this is best to use. If all this is too difficult for you to contact your IT specialists, they understand this.

Перевод записки на русский язык:
уже сделан

Средство связи на сайте Runion:





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Шифровальщик генерирует безопасный ключ для AES и защищает его с помощью открытого ECDH-ключа.

➤ Пример зашифрованного файла в окне просмотра PeStudio:


Список файловых расширений, подвергающихся шифрованию:
Ориентирован на любые базы данных, которые могут быть найдены в компьютере. 
По словам вымогателей не должны быть зашифрованы документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы и прочие файлы, которые не являются базами данных. 

Файлы, связанные с этим Ransomware:
1_VIRUS_SHIFROVALSHIK.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://lwplxqzvmgu43uff.onion/
Email: - 
BTC: - 
Monero: 100 XMR
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
  myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
Я не знаю, поможет ли...
ЛК предлагает воспользоваться утилитой ScatterDecryptor, 
чтобы расшифровать файлы с расширениями .PZDC.
Ссылка на статью и дешифровщик >>
 Thanks: 
 Alex Svirid, Andrew Ivanov (author)
 al1963
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Chekyshka

Chekyshka Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные сетевых хранилищ NAS с помощью AES, а затем требует выкуп в $1200 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: StorageCrypter, Cr1ptT0r, MegaLocker (похожи по типу атаки) > Chekyshka

Этимология названия:
В основе слова "Chekyshka" русское слово "чекушка" (четвертинка) - маленькая бутылка водки емкостью в четверть литра. 
Изображение показывает то, что в основе названия вымогателя

К зашифрованным файлам добавляется расширение: .chekyshka


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!CHEKYSHKA_DECRYPT_README.TXT

Содержание записки о выкупе:
All your files have been encrypted.
Your unique id: A0244D50B9034A419856CADBEE5DF40D
You can buy decryption for 1200$ in Bitcoins.
But before you pay, you can make sure that we can really decrypt any of your files.
The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
To do this:
1) Download and install Tor Browser ( https://www.torproject.org/download/ )
2) Open the y7c5bdswtvcfbb2c6waotudyrwhvetxt5xzdkq5hyxnd7clpc3dernqd.onion web page in the Tor Browser and follow the instructions.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы.
Ваш уникальный id: A0244D50B9034A419856CADBEE5DF40D
Вы можете купить расшифровку за 1200$ в биткойнах.
Но прежде чем платить, вы можете убедиться, что мы правда можем расшифровать любые ваши файлы.
Ключ шифрования и ID уникальны для вашего компьютера, поэтому вы гарантированно сможете вернуть свои файлы.
Сделайте это:
1) Загрузите и установите браузер Tor (https://www.torproject.org/download/)
2) Откройте веб-страницу y7c5bdswtvcfbb2c6waotudyrwhvetxt5xzdkq5hyxnd7clpc3dernqd.onion в браузере Tor и следуйте инструкциям.



Содержание текста на сайте:
Chekyshka Virus Decryption Test (заголовок)
1) Send me a few encrypted files (no more 3 files, no more 5 MB each, one per letter) and your ID from !!!CHEKYSHKA_DECRYPT_README.TXT to sherlokcock@cock.li
2) I will decipher them and send you back with bitcoin address for payment.
3) After payment ransom for Bitcoin, I will send you a decryption program and instructions. If I can decrypt your files, I have no reason to deceive you after payment.
How do I pay the ransom?
After decrypting the test files, you will see the amount of payment in bitcoins and a bitcoin wallet for payment. Depending on your location, you can pay the ransom in different ways. Use Google to find information on how to buy bitcoins in your country or use the help of more experienced friends. Here are some links:
https://buy.blockexplorer.com - payment by bank card
https://www.buybitcoinworldwide.com
https://localbitcoins.net 

Перевод текста на русский язык:
Chekyshka Virus Decryption Test (заголовок)
1) Пришлите мне несколько зашифрованных файлов (не более 3 файлов, не более 5 МБ каждый, буква к букве) и свой ID из !!!CHEKYSHKA_DECRYPT_README.TXT на sherlokcock@cock.li
2) Я расшифрую их и отправлю обратно с биткоин-адресом для оплаты.
3) После оплаты выкупа за биткоины, я вышлю вам программу расшифровки и инструкции. Если я смогу расшифровать ваши файлы, у меня нет причин обманывать вас после оплаты.
Как я могу заплатить выкуп?
После расшифровки тестовых файлов вы увидите сумму оплаты в биткоинах и биткоин-кошелек для оплаты. В зависимости от вашего местоположения вы можете заплатить выкуп разными способами. Используйте Google, чтобы найти информацию о том, как купить биткоины в вашей стране, или воспользуйтесь помощью более опытных друзей. Вот несколько ссылок:
https://buy.blockexplorer.com - оплата банковской картой
https://www.buybitcoinworldwide.com
https://localbitcoins.net 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!CHEKYSHKA_DECRYPT_README.TXT
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor URL: y7c5bdswtvcfbb2c6waotudyrwhvetxt5xzdkq5hyxnd7clpc3dernqd.onion
Email: sherlokcock@cock.li
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3-5 июля 2019:
Пост на форуме >>
Расширение: .chekyshka
Записка: !!!CHEKYSHKA_DECRYPT_README.TXT
➤ Содержание записки: 
All your files have been encrypted.
Your unique id: 556629372BA743A4BB3F32D8683A6***
You can buy decryption for 350$ in Bitcoins.
But before you pay, you can make sure that we can really decrypt any of your files.
The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
To do this:
1) Download and install Tor Browser ( https://www.torproject.org/download/ )
2) Open the y7c5bdswtvcfbb2c6waotudyrwhvetxt5xzdkq5hyxnd7clpc3dernqd.onion web page in the Tor Browser and follow the instructions.







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myTweet
 ID Ransomware (ID as Chekyshka)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 24 июня 2019 г.

Litra

Litra Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100-350 $/€, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: noitidetsrif.exe 

Обнаружения:
DrWeb -> Trojan.Encoder.28588
BitDefender -> Trojan.GenericKD.41387691
ALYac -> Trojan.Ransom.Filecoder
Malwarebytes -> Ransom.Litra
TrendMicro -> Ransom.Win32.OMEGAX.THGOHAIA
Rising -> Ransom.Litra!1.B95B (CLASSIC)


© Генеалогия: HiddenTear >> Blank > Dodger, Litra

К зашифрованным файлам добавляется расширение: .litra


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Запиской с требованием выкупа выступает экран блокировки:
Окно экрана блокировки
Текст из внутренней части экрана блокировки

Содержание текста о выкупе:
All of your personal files including documents, pictures, texts and other sensitive data are encrypted.
---
QUESTIONS & ANSWERS TO THEM
==========================
* Can I get my files back?
===============
- Yes, you can get your files back by following these simple steps :
> REGISTER A NEW ADRESS AT : www.protonmail.com
> CONTACT: omegax0@protonmail.com
* How much money do I need?
===================
- The prices are somewhere between 100-350USD/EUR based on the sensitivity of your data.
* What if I don't want to pay?
=================
- You'll be left helpless. There is no way to decrypt your files without us, because the encryption key is not static (generated randomly).
* How much time do I have?
=================
- We are kind, so you have your entire lifetime to contact us.
---
Rules
We are not the people you really want to annoy. We will most probbably block you, if you even try to "troll" us around. The key to get your files back are simple : > have patience... there is no better answer.

Перевод текста на русский язык:
Все ваши личные файлы, включая документы, изображения, тексты и другие конфиденциальные данные, зашифрованы.
---
ВОПРОСЫ И ОТВЕТЫ НА ИХ
==========================
* Могу ли я получить свои файлы обратно?
===============
- Да, вы можете вернуть свои файлы, выполнив следующие простые шаги:
> РЕГИСТРАЦИЯ НОВОГО АДРЕСА НА: www.protonmail.com
> КОНТАКТ: omegax0@protonmail.com
* Сколько денег мне нужно?
===================
- Цены где-то между 100-350USD/EUR в зависимости от чувствительности ваших данных.
Что делать, если я не хочу платить?
=================
- Вы останетесь без помощи. Невозможно расшифровать ваши файлы без нас, т.к. ключ шифрования не статический (генерируется случайным образом).
* Сколько у меня времени?
=================
- Мы добры, поэтому у вас есть вся ваша жизнь, чтобы связаться с нами.
---
Правила
Мы не те люди, которых вы действительно хотите раздражать. Скорее всего, мы вас просто заблокируем, если вы попытаетесь "троллить" нас. Ключ к возврату ваших файлов прост :> наберитесь терпения ... лучшего ответа нет.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название вредоносного файла
noitidetsrif.pdb (Noitide Tsrif) - оригинальное название проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: omegax0@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать!
Пострадавшие могут написать по этой ссылке Майклу. 
***
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Litra)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *