Если вы не видите здесь изображений, то используйте VPN.

суббота, 5 октября 2019 г.

HackdoorCrypt3r

HackdoorCrypt3r Ransomware

(шифровальщик-вымогатель) (первоисточник)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: HackdoorCrypt3r. В записке написано: "HackdoorCrypt3r © By DecryptFs and a team of Pakistani Hackers".

 Обнаружения:
DrWeb -> Trojan.Encoder.29282
BitDefender -> Generic.Ransom.WCryG.74DCED97

 © Генеалогия: ✂️ HiddenTear >> HackdoorCrypt3r
Изображение — логотип статьи

 К зашифрованным файлам добавляется расширение: .hackdoor


 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Штамп времени: 29 июля 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: !how_to_unlock_your_file.txt

 Содержание записки о выкупе:
HackdoorCrypt3r © By DecryptFs and a team of Pakistani Hackers
*************************************************
Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time, no one will be able to recover them without our
decryption service.
We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price(they add their fee to our) or you can become a victim of a scam.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free.File must not contain valuable information.
Price of private key and decrypt software is S980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
DecryptFs@protonmail.com
Mark Data Restore
Your personal lD(lmportant!!!):
***
Our BTC Address:
3J1ixBvR1r7VHgu5zJV7Xhv4moKh1cGf3A
Once we confirm your payment,we will send you decrypt soft to decrypt all your file:
***

 Перевод записки на русский язык:
HackdoorCrypt3r © Автор DecryptFs и группа пакистанских хакеров
*************************************************
К сожалению! Ваши файлы были зашифрованы.
Если вы видите этот текст, ваши файлы теперь недоступны.
Возможно, вы ищете способ восстановить ваши файлы.
Не тратьте свое время, никто не сможет восстановить их без нашей служба дешифрования.
Мы гарантируем, что вы можете восстановить все ваши файлы безопасно. Все, что вам нужно сделать, это отправить платеж и получить пароль для расшифровки.
Внимание!
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровать ваши данные с помощью сторонних  программ, это может привести к необратимой потере данных.
* Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою плату к нашей), или вы можете стать жертвой мошенничества.
Какие у вас гарантии?
Вы можете отправить один из ваших зашифрованных файлов с вашего ПК, и мы расшифруем его бесплатно.
Но мы можем дешифровать только 1 файл бесплатно. Файл не должен содержать ценной информации.
Цена на закрытый ключ и расшифровку программного обеспечения - S980.
Скидка 50% доступна, если вы связываетесь с нами в первые 72 часа, цена для вас составит $ 490.
Обратите внимание, что вы никогда не сможете восстанавливать свои данные без оплаты.
Проверьте свой email в "Spam" и "Junk" папках, если вы не получили ответ более 6 часов.
Чтобы получить эту программу, вам необходимо написать на наш email:
DecryptFs@protonmail.com
Отметить Data Restore
Ваш личный Л.Д. (Важно!!!):
***
Наш адрес BTC:
3J1ixBvR1r7VHgu5zJV7Xhv4moKh1cGf3A
Как только мы подтвердим ваш платеж, мы вышлем вам программу для расшифровки всех ваших файлов:
***

Онлайн загружается изображение с темным фоном. Текста никакого нет.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

 Список файловых расширений, подвергающихся шифрованию:
 .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backup, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_jou, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .moneyw, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_m, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsm, .ppsx, .ppt, .pptm, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspima, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bd, .sav, .save, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite, .sqlite, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .txt, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (380 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WindowsFormsApp2.exe (d.exe)
d.pdb - оригинальное название проекта
!how_to_unlock_your_file.txt
<random>.exe - случайное название вредоносного файла
021e44da5addc20ffe5f09d9ec813f05.jpg - загруженное изображение

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Administrator\.nuget\packages\ilmerge\2.14.1208\tools\d.pdb

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Malware-URL: xxxx://btcanonymous.co/
xxxx://btcanonymous.co//api.php
URL загруженного изображения: xxxxs://sathisharthars.files.wordpress.com/2014/12/021e44da5addc20ffe5f09d9ec813f05.jpg
Email: DecryptFs@protonmail.com
BTC: 3J1ixBvR1r7VHgu5zJV7Xhv4moKh1cGfJA
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Ещё не было обновлений этого варианта.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *