суббота, 30 ноября 2019 г.

KesLan, TRSomware

KesLan Ransomware

MMRansom, ZZZZZZZZZZ, TurkishRansom, TRSomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в турецких лирах и BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: ZZZZZZZZZZ.exe или что-то другое. Разработчик: MMTeam из Турции. Файлы можно расшифровать! 

Обнаружения:
DrWeb -> Trojan.Encoder.30247, Trojan.DownLoader30.47135, Trojan.Encoder.30250, Trojan.Encoder.30252, Trojan.Encoder.30257, Trojan.Encoder.30290, Trojan.Packed2.42156
BitDefender ->  Gen:Heur.Ransom.RTH.1, Gen:Heur.Ransom.HiddenTears.1, Gen:Heur.Ransom.Imps.3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK, A Variant Of MSIL/Filecoder.FU
Rising -> Trojan.Filecoder!8.68*
Symantec -> Ransom.HiddenTear!g1, ML.Attribute.HighConfidence, Downloader

© Генеалогия: ✂️ HiddenTear >> KesLan > TRSomware ⇒ MaMo434376 (MaMo, MZRevenge)Deniz Kızı (Mermaid)

Знак "⇒" здесь означает переход на другую разработку. KesLan был основан на HiddenTear, а варианты семейства MaMo разработаны в Delphi. 

Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
.TR
.MMTeam
.Sifrelendi
.TMTEAM
.TRSomware

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец ноября - начало декабря 2019 г. Ориентирован на турецких пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: Dosyalarını Kurtarmak İstiyorsan Oku!!!.txt

Содержание записки о выкупе:
Sen: Dosyalarımı Nasıl Kurtarabilirim
Ben: 400 TL Karşılığın'da Dosyalarınızı Kurtarabilirsiniz.
Aksi Taktir'de Dosyalarınızı Sonsuza Kadar Kurtaramazsınız. :)
Kısaca 400 = Decryptor Kapiş?
Sen: Adresi Ver OÇ
BTC(Bitcoin) Address: ***
Ben: Kes Lan

Перевод записки на русский язык:
Вы: Как восстановить мои файлы
Я: 400 турецких лир чтобы восстановить ваши файлы.
Иначе вы не сможете восстановить свои файлы никогда. :)
Короче 400 = за дешифровщик понятно?
Вы: Дайте адрес кошелька
BTC (Биткойн) Адрес: ***
Я: Разговор окончен. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Dosyalarını Kurtarmak İstiyorsan Oku!!!.txt
vicswors.vbs
WindowsFormsApp.exe
<random>.exe - случайное название вредоносного файла
@MMDecrypt0r@.exe - дешифровщик от вымогателей

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: anonymousfiles.io
Email: 
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

KesLan Ransomware - ноябрь 2019
MMRansom Ransomware - декабрь 2019 
TRSomware Ransomware - декабрь 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 декабря 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение-1: .MMTeam
Расширение-2: .Sifrelendi
Записка: Dosyalarını Kurtarmak İstiyorsan Oku!!!.txt
Контакт в Discord: 0xDays#8262
Файл: ZZZZZZZZZZ.exe
Результаты анализов: VT + VT 
➤ Обнаружения: 
Trojan.Encoder.30252
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
   

Обновление от 1 декабря 2019:
Пост в Твиттере >>
Расширение: .TMTEAM
Записка: @Lütfen Beni Oku!@.txt
Контакт в Discord: 0xDays#8262
Файл: ZZZZZZZZZZ.exe
Результаты анализов:  VT + AR
➤ Обнаружения: 
Trojan.Encoder.30257
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
Symantec -> Ransom.HiddenTear!g1
 


Обновление от 2 декабря 2019:
Пост в Твиттере >>
Расширение: .TRSomware
Записка: @Lütfen Beni Oku!@.txt
Изображения: @TMTeam@.png, wallpaper.bmp
Контакт в Discord: 0xDays#8262
Файл: ZZZZZZZZZZ.exe
Результаты анализов: VT + AR
➤ Обнаружения: 
Trojan.Encoder.30257
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
Symantec -> Ransom.HiddenTear!g1



Обновление от 3 декабря 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .TRSomware
Записка: @Lütfen Beni Oku!@.txt
URL: xxxx://x46d789dsa7985615asd777.rf.gd/
На Рабочий стол отбрасывается файл @MMDecrypt0r@.exe
Файл: ZZZZZZZZZZ.exe
Результаты анализов: VT + AR + VT (@mmdecrypt0r@.exe) + VT (11.vbs)
 



Обновление от 5 декабря 2020:
Пост в Твиттере >>
Записка-1 (на турецком): @Lütfen_Beni_Oku!@.txt
Записка-2 (на английском): @Please_Read_Me@.txt
 
Специальное изображение с текстом на турецком и английском языках заменяет обои Рабочего стола и информирует пострадавшего пользователя. 
URL/DNS: http://mamo434376.0fees.us/*
Этот адрес подтверждает связь между KesLan MMRansom, TRSomware) Ransomware и MaMo434376 (MaMo, MZRevenge) Ransomware. Видимо, вымогатели, которые распространяли KesLan, основанный на HiddenTear и его модификациях, потом стали распространять MaMo434376 и его варианты, разработанные в Delphi. 
Файл: ZZZZZZZZZZ.exe
Результаты анализов: VT 
Обнаружения: 
DrWeb -> Trojan.Packed2.42156
BitDefender -> Gen:Heur.Ransom.Imps.3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.FU
F-Secure -> Trojan.TR/Ransom.dnrjd
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Tear.gen
Malwarebytes -> Ransom.Mamo
McAfee -> RDN/Ransom
Tencent -> Msil.Trojan.Tear.Lpbj
TrendMicro -> Ransom_Tear.R002C0PL819







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать 360 Ransomware Decryption Tools и расшифровать файлы >>
Прочтите подробную инструкцию перед запуском. 
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, dnwls0719, Raby
 Andrew Ivanov (author)
 Qihoo 360 (360 Ransomware Decryption Tools)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 28 ноября 2019 г.

BigBossHorse, Horsedeal

BigBossHorse Ransomware

Heronpiston Ransomware

Horsedeal Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель из семейства GarrantyDecrypt шифрует данные пользователей, а затем требует связаться с вымогателями, чтобы узнать, как заплатить выкуп и файлы. Оригинальное название: в записке не указано. 

Обнаружения (нет ранних образцов):
DrWeb -> Trojan.Encoder.30568
BitDefender -> Gen:Heur.Ransom.Imps.1, Trojan.GenericKD.42254464
ALYac -> Trojan.Ransom.BigBosshorse
Avira (no cloud) -> TR/AD.RansomHeur.uvzup
ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.C
McAfee -> Ransom/Horsedeal
TrendMicro -> TROJ_FRS.0NA103AH20
Symantec -> Downloader, ML.Attribute.HighConfidence

© Генеалогия: GarrantyDecryptBigBossHorse (Heronpiston, Horsedeal)
Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
.bigbosshorse
.heronpiston
.horsedeal


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого варианта крипто-вымогателя из семейства GarrantyDecrypt была замечена в ноябре-декабре 2019 и в январе 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: #Decryption#.txt

Содержание записки о выкупе:
All your files have been ENCRYPTED!!!
Write to our email - bigbosshorse@ctemplar.com
Or contact us via jabber - bigbosshorse@xmpp.jp
Jabber client installation instructions:
Download the jabber (Pidgin) client from https://pidgin.im/download/windows/
After installation, the Pidgin client will prompt you to create a new account.
Click - Add
In the -Protocol field, select XMPP
In -Username - come up with any name
In the field -domain - enter any jabber-server, there are a lot of them, for example - exploit.im
Create a password
At the bottom, put a tick -Create account
Click add
If you selected -domain - exploit.im, then a new window should appear in which you will need to re-enter your data:
User
password
You will need to follow the link to the captcha (there you will see the characters that you need to enter in the field below)
If you don't understand our Pidgin client installation instructions, you can find many installation tutorials on youtube - https://www.youtube.com/results?search_query=pidgin+jabber+install
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
tell your unique ID
lJWSLNJGJZbvKjZnL/hl5VwkLusRj1kS8a5Wgv6*** [всего 684 знака]

Перевод записки на русский язык:
Все ваши файлы зашифрованы !!!
Пишите на наш email - bigbosshorse@ctemplar.com
Или свяжитесь с нами через jabber - bigbosshorse@xmpp.jp
Инструкция по установке клиента Jabber:
Загрузите Jabber (Pidgin) клиент с https://pidgin.im/download/windows/
После установки клиент Pidgin предложит вам создать новую учетную запись.
Нажмите - Добавить
В поле -Protocol выберите XMPP
В -Username - придумать любое имя
В поле -domain - введите любой jabber-сервер, их много, например - exploit.im
Создать пароль
Внизу поставьте галочку - Создать аккаунт
Нажмите добавить
Если вы выбрали -domain - exploit.im, то должно появиться новое окно, в котором вам нужно будет повторно ввести ваши данные:
Пользователь
пароль
Вам нужно будет перейти по ссылке на капчу (там вы увидите символы, которые нужно ввести в поле ниже)
Если вы не понимаете наши инструкции по установке клиента Pidgin, вы можете найти множество руководств по установке на YouTube - https://www.youtube.com/results?search_query=pidgin+jabber+install
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою плату к нашей), или вы можете стать жертвой мошенничества.
сообщите свой уникальный идентификатор
lJWSLNJGJZbvKjZnL / hl5VwkLusRj1kS8a5Wgv6 *** [всего 684 знака]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#Decryption#.txt - название записки о выкупе
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bigbosshorse@ctemplar.com
Jabber: bigbosshorse@xmpp.jp
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 декабря 2019:
Топик на форуме >>
Расширение: .heronpiston
Записка: #Decryption#.txt
Email: heronpiston@ctemplar.com
Jabber: heronpiston@xmpp.jp
Результаты анализов: VT 
➤ Содержание записки: 
All your files have been ENCRYPTED!!!
Write to our email - heronpiston@ctemplar.com
Or contact us via jabber - heronpiston@xmpp.jp
The easiest way:
- register here https://www.xmpp.jp/signup 
- after go here https://www.xmpp.jp/client/
- log in and write us to heronpiston@xmpp.jp 
Or you can download and set up jabber client Pidgin from https://pidgin.im/download/widows/ login and contact us
Attention! 
- Do not rename encrypted files. 
- Do not try to decrypt your data using third party software, it may cause permanent data loss.  
- Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.  
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you decryption tool that will decrypt all your files. 
Free decryption as guarantee 
User 
password 
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins 
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here:  
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Or you can use popular exchange service https://www.bestchange.com/ 
tell your unique ID
VCnwcPRrS5xfEHCf5+HMHkjS2QLV0kXKSa0L7ww*** [всего 684 знака]

Обновление от 14 января 2020:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .horsedeal
Записка: #Decryption#.txt
ICQ: https://icq.im/bigbosshorse 
Jabber: bigbosshorse@xmpp.jp
Файлы: horsedeal.exe, avgdiagex.exe
➤ Результаты анализов: HA + VT + IA + IA + AR / VT + AR
Содержание записки о выкупе:
All your files have been ENCRYPTED!!!
Write to our ICQ https://icq.im/bigbosshorse 
Or contact us via jabber - bigbosshorse@xmpp.jp
Jabber client installation instructions:
Download the jabber (Pidgin) client from https://pidgin.im/download/windows/ 
After installation, the Pidgin client will prompt you to create a new account. 
Click - Add
In the -Protocol field, select XMPP 
In -Username - come up with any name 
In the field -domain - enter any jabber-server, there are a lot of them, for example - exploit.im 
Create a password
At the bottom, put a tick -Create account 
Click add 
If you selected -domain - exploit.im, then a new window should appear in which you will need to re-enter your data: 
User 
password 
You will need to follow the link to the captcha (there you will see the characters that you need to enter in the field below) 
If you don't understand our Pidgin client installation instructions, you can find many installation tutorials on youtube - https://www.youtube.com/results?search_query=pidgin+jabber+install 
If you have not received a response from us then we may have technical problems and please write to us using Jaber here bigbosshorse@xmpp.jp or on icq 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 
tell your unique ID
kTRjw264lzZ7JC7gzkXghgEkTTiH0T/lArdIOOwwt0xG7vTzu8QYsiuWpvvXg1OH0jg*** [всего 1368 знаков]
---
Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола, содержащее контакты вымогателей:
Need you files? Contact us!
ICQ: @bigbosshorse
XMPP: bigbosshorse@xmpp.jp
---
Исследователь вредоносных программ S!Ri сделал сравнение варианта BigBossHorse-Horsedeal (слева) с GarrantyDecrypt (справа). Это подтверждает их родство. 
 






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as GarrantyDecrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 25 ноября 2019 г.

Zeppelin

Zeppelin Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Zeppelin. На файле написано: нет данных.

Обнаружения:
DrWeb -> DLOADER.Trojan, Trojan.Encoder.25574, Trojan.Encoder.30393
BitDefender -> Trojan.GenericKD.42071109, Generic.Ransom.Buhtrap.***
Malwarebytes -> Ransom.Buran
McAfee -> RDN/Generic.grp, GenericRXJE-WA!FEE6BA9A0D7A
Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:Win32/Zeppelin.A!MSR
ESET-NOD32 -> A Variant Of Win32/Filecoder.Buran.H
Symantec -> Trojan Horse, ML.Attribute.HighConfidence

© Генеалогия: BuranZeppelin (Buran V)
Изображение — логотип статьи

 
Эти символы добавляются в код зашифрованных файлов как файловый маркер. Стилизованное изображение под дирижабль Zeppelin.

К зашифрованным файлам добавляется расширение в формате 3х3, например, как в тексте записки: .126-A9A-0E9 или .244-A80-137

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину ноября 2019 г. и продолжилась в декабре 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt
Другой вариант: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
 Так это выглядит при открытии файла в Блокноте. 
 Так это выглядит при открытии файла в браузере Google Chrome. 

Содержание записки о выкупе:
                                       ---=== Welcome. Again. ===---
                                        [+] Whats Happen? [+]
Your files are encrypted, and currently unavailable. You can check it: all files on your computer has extension 126-A9A-0E9
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
                                        [+] What guarantees? [+]
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.To be sure we have the decryptor and it works you can send an email: zeppelindecrypt@420blaze.it and decrypt one file for free.
But this file should be of not valuable!
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise - time is much more valuable than money.
Write to email: zeppelindecrypt@420blaze.it
Reserved email: zeppelin_helper@tuta.io
Reserved jabber: zeppelin_decrypt@xmpp.jp
Your personal ID: 126-A9A-0E9
                                       !!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!

Перевод записки на русский язык:
                                        ---=== Добро пожаловать. Снова. ===---
                                        [+] Что случилось? [+]
Ваши файлы зашифрованы и теперь недоступны. Вы можете проверить это: все файлы на вашем компьютере имеют расширение 126-A9A-0E9
Кстати, все можно вернуть (восстановить), но нужно следовать нашим инструкциям. В противном случае вы не сможете вернуть свои данные (НИКОГДА).
                                        [+] Какие гарантии? [+]
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения льгот. Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать. Это не в наших интересах. Чтобы убедиться, что у нас есть расшифровщик, и он работает, вы можете написать на email zeppelindecrypt@420blaze.it и дешифровать один файл бесплатно.
Но этот файл не должен быть ценным!
Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо ценнее денег.
Написать на email: zeppelindecrypt@420blaze.it
Резервный адрес email: zeppelin_helper@tuta.io
Резервный jabber: zeppelin_decrypt@xmpp.jp
Ваш личный ID: 126-A9A-0E9
                                       !!! ОПАСНОСТЬ !!!
НЕ пытайтесь изменить файлы самостоятельно, НЕ используйте любe. стороннюю программу для восстановления ваших данных или антивирусные решения - это может повлечь за собой повреждение личного ключа и, как следствие, потерю всех данных.
!!! !!! !!!
ЕЩЕ РАЗ: В ваших интересах вернуть ваши файлы. Со своей стороны мы (лучшие специалисты) делаем все для восстановления, но, пожалуйста, не нужно мешать.
!!! !!! !!!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt
svchost.exe
<random>.exe - случайное название вредоносного файла
1767D234-B440-8A0A-8098-4692C8B2B5A8_unlocker.exe

Расположения:
C:\.zeppelin
C:\Users\.zeppelin  и другие
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
\USER\S-*\Software\Buran V\Stop
HKEY_CURRENT_USER\Software\Zeppelin
HKEY_CURRENT_USER\Software\Zeppelin\Keys
HKEY_CURRENT_USER\Software\Zeppelin\Keys\Encrypted Private Key
HKEY_CURRENT_USER\Software\Zeppelin\Keys\Public Key
HKEY_CURRENT_USER\Software\Zeppelin\Knock
HKEY_CURRENT_USER\Software\Zeppelin\Paths
HKEY_CURRENT_USER\Software\Zeppelin\Paths\0
HKEY_CURRENT_USER\Software\Zeppelin\Stop
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: zeppelindecrypt@420blaze.it, zeppelin_helper@tuta.io
Jabber: zeppelin_decrypt@xmpp.jp
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Использует сайты для определения IP и страны компьютера: 
iplogger.org
geoiptool.com

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis (decryptor) >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.




=== === RANSOMWARE BUILDER ===


Здесь мы можем видеть, что название записки можно менять. 
На скриншоте это !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Vega (VegaLocker) Ransomware - февраль 2019
Jamper (Jumper) Ransomware - март, апрель, май 2019
Buran Ransomware - май 2019
Buran 2.0 Ransomware - июнь 2019
Buran-Ghost Ransomware - июнь 2019
Buran-Storm Ransomware - июнь, сентябрь 2019
Zeppelin Ransomware - декабрь 2019 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 28 ноября 2019:
Пост в Твиттере >>
Расширение (пример): .BB4-230-123
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: buratino@firemail.cc, buratino2@tutanota.com, buratin@torbox3uiot6wchz.onion
Результаты анализов: VT 
➤ Содержание записки о выкупе:
Need decrypt your data?
Write on e-mail:
buratino@firemail.cc
Your personal ID:
BB4-232-232
Additional e-mails:
buratino2@tutanota.com

buratin@torbox3uiot6wchz.onion (access only from tor)


Обновление от 8-9 декабря 2019:
Пост в Твиттере >>
Расширение (шаблон): .XXX-XXX-XXX
Пример расширения: .276-A80-137
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: angry_war@protonmail.ch
Результаты анализов: VT + VMR
Обновление от 11-12 декабря 2019:
Статья на сайте Cylance >>
Статья на сайте BC >>

Обновление от 19 декабря 2019:
Пост в Твиттере >>
Email: cheet0s_de@protonmail.com, Pringls_us@protonmail.com 
Файл: LilDroidSoftwareload.exe
 
Malware-URL: xxxxs://anonfiles.com/ZbSdO8G0nc/bb_zip
AZORult может украсть криптовалюту и банковскую информацию, включая пароли и данные кредитной карты. Это регулярно обновляемое вредоносное ПО для кражи информации продолжает оставаться активной угрозой.
Результаты анализов: VT + AR + HA
➤ Содержание записки о выкупе:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: cheet0s_de@protonmail.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: cheet0s_de@protonmail.com 
Reserved email: Pringls_us@protonmail.com 
Your personal ID: 775-43E-***
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Обновление от 19 декабря 2019:
Пост в Твиттере >>
Расширение (шаблон): .zeppelin и .XXX-XXX-XXX
Пример расширения: .781-1F7-E11
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: helpservis@horsefucker.org
Результаты анализов: VT + AR + VMR
➤ Содержание записки о выкупе:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: helpservis@horsefucker.org and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: helpservis@horsefucker.org
Your personal ID: 781-1F7-E11
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Обновление от 19-24 декабря 2019:
Пост в Твиттере >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Пример расширения: .F3D-0BB-E7E
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Результаты анализов: VT + VT


Обновление от 22 декабря 2019:
Пост в Твиттере >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Файлы: LilDroidSofwareload.exe, zaebalsiarealy.exe

Обновление от 9 января 2020:
Пост в Твиттере >>
Расширение: .XXX-XXX-XXX и .zeppelin
Email: ret3pwn@gmail.com
Записка (на турецком языке): !!! CONTACT !!!.TXT
Результаты анализов: VT + HA + IA + AR + AR
➤ Содержание записки: 
contact addres : ret3pwn@gmail.com
ip numaraniz : { google.com da ip goster yazip sitelerden ögrenebilirsiniz }
senin kodun : tXZ01
verileriniz sifrelendi verilerinizin cozulmesini hacklendigi gunki haline
donmesini istiyorsaniz bize ulasin verilerinizi cozmeniz konusunda yardim edelim
1- nasil hacklendiginizi öğreneceksiniz
2- tekrar hacklenmemek icin bizden oneriler ve yardimlar alacaksin
3- sifrelenen verilerin acilicek sistemin eski haline gelicek
4- guvenli ve cok saglam bir sistem kurman icin bilgiler öneriler vereceğiz
5- daha once bizim tarafimizdan hacklenmis yardim gormus verisi acilmis
bir firma ile gorusturecegiz. goruşmeden once ciddi oldugunuzu bilmemiz icin
size teklif edilen odemeyi hazirlamis olmaniz gerekir. odeme yolu ve bilgisi
mail ile verilicektir
not : verinizi acamayacagimizdan suphe duyarsaniz sizin için önemi olmayan
ama cozebilecegimizi gosteren basit bir dosya yollayabilirsiniz
mail ile istediklerimiz
1- ip numaraniz
2- senin kodun
3- cozmemizi isterseniz ornek bir dosya



Обновление от 9 февраля 2020:
Пост на форуме >>
Расширение (шаблон): .XXX-XXX-XXX и .zeppelin
Пример расширения: .2BF-510-92E
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: onlinebigbrotheriswatchingyou@protonmail.com
onlinebigbrotheriswatchingyou@tutanota.com
➤ Содержание записки:
!!! ALL YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important files are encrypted.
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an email: onlinebigbrotheriswatchingyou@protonmail.com or onlinebigbrotheriswatchingyou@tutanota.com and decrypt one file for free.
But this file should be of not valuable!
Do you really want to restore your files?
Write to email: onlinebigbrotheriswatchingyou@protonmail.com
Reserved email: onlinebigbrotheriswatchingyou@tutanota.com
Your personal ID: 2BF-515-95E
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our).
To avoid getting your computer infected AGAIN  you should be very careful when downloading software - the only safe place to download applications is their developer website or official app store. Be very careful when opening attachments in your email inbox - even legitimate looking emails can be a part of social engineering created by BIG BROTHER. You are advised keep your  operating system and installed software up-to-date. Use legitimate antivirus and anti-spyware programs and do not click on links or open email attachments from untrusted sources. Avoid visiting pornographic websites and do not download files from P2P  services such as torrents and never use software cracks or game cheats - these are very common places where cyber criminals distribute their malicious software.

Обновление от 20 февраля 2020:
Пост в Твиттере >>
Enail: msupport2019@protonmail.com, msupport@elude.in
Файл: Aksip.exe
Результаты анализов: VT + VMR
Обнаружения: 
DrWeb -> Trojan.Encoder.31068
BitDefender -> Trojan.GenericKD.33337236
ESET-NOD32 -> A Variant Of Win32/Kryptik.GZWI
McAfee -> Trojan-FRUJ!61506482DDD2
TrendMicro -> Trojan.Win32.MALREP.THBBDBO
Symantec -> Trojan.Gen.2






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet + Tweet, Tweet, Tweet
 ID Ransomware (ID as Zeppelin)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 Michael Gillespie, Vitali Kremez, dnwls0719
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

У вас есть Совесть? Получите здесь!

У вас есть Совесть? Получите здесь!
Официальная ссылка на получение карты "Совесть" с бонусом для нас двоих!

Постоянные читатели

Получать письма / Follow by E-mail

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *