Если вы не видите здесь изображений, то используйте VPN.

среда, 1 ноября 2017 г.

Different Jigsaw

Jigsaw 2018-2021 Ransomware

Different Jigsaw-based Ransomware

Different modified Jigsaw Ransomware

Different faked Jigsaw Ransomware

Сборник разных вариантов Jigsaw за 2017-2021 годы

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритмов AES и RSA, а затем требует выкуп в долларах, BTC или в другой валюте, чтобы вернуть файлы. Оригинальное название: Jigsaw, Jigsaw Locker, JigsawRansomware, Blackmailer и другие. Распространяется разными группами вымогателей с апреля 2016 года по всему миру. Множество предыдущих вариантов можно увидеть в конце статьи. 

Файлы, зашифрованные некоторыми описанными здесь вариантами могут быть расшифрованы с помощью Decryptor for Jigsaw. Если нужна помощь, обращайтесь к Майклу Джиллеспи

Мы ничего не знаем о вымогателях и распространителях, и не собираем их личную информацию. Множество собранных вариантов можно увидеть здесь по годам. 

В данной статье будут очень кратко описаны различные варианты, для которых я не сделал отдельных статей, потому что получил очень мало информации или не располагал свободным временем. Статья сформирована из разных сообщений в ноябре 2021 года. 

---
Обнаружения:
DrWeb -> Trojan.EncoderNET.1
ALYac -> Trojan.Ransom.Jigsaw
BitDefender -> Generic.MSIL.Ransomware.Jigsaw.*
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Jigsaw.B
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Ransom.Jigsaw.Generic
Microsoft -> Ransom:MSIL/JigsawLocker.A
Rising -> ***
Symantec -> Ransom.Jigsaw
Tencent -> Win32.Trojan.Generic.Hufs
TrendMicro -> Ransom.MSIL.JIGSAW.SM
---

© Генеалогия: Jigsaw >> Jigsaw измененные, фейки
© Genealogy: Jigsaw >> Jigsaw modified, faked

Активность этого крипто-вымогателя началась в апреле 2016 года и продолжалась в последующие годы. Ориентирован, в основном, на англоязычных пользователей, но может распространяться по всему. 

Чаще всего вымогателями применяются варианты, ориентированные на англоязычных пользователей. Они могут распространяться в какой-то отдельно взятой стране или по всему миру.

Записка с требованием выкупа обычно написана на экране блокировки, текст может быть на разных языках, но чаще всего на английском языке. 

***

Содержание записки о выкупе:
*** can be anything ***

Перевод записки на русский язык:
*** может быть любым ***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
firefox.exe - копия исполняемого файла; 
drpbx.exe - копия исполняемого файла. 

Расположения:
C:\Users\User\AppData\Roaming\Frfx\firefox.exe 
C:\Users\User\AppData\Local\Drpbx\drpbx.exe 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: разные в каждом случае
BTC: разные в каждом случае
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ВАРИАНТОВ === BLOCK OF VARIANTS ===

=== 2017 ===

Вариант от 4 ноября:
Сообщение >>
Расширение: .####CONTACT_US_pablukl0cker638yzhgr@2tor.com####
Email: pablukl0cker638yzhgr@.2tor.com
BTC: 1PWRLD5HkW3U1fqDc5bqvwAbZe3VbnHXgV
Файл: LoL VIP RP HACK 4.0.exe
Результаты анализов: VT

Вариант от 11 ноября:
Сообщение >>
Расширение .##ENCRYPTED_BY_pablukl0cker##
Файл: LoL VIP RP HACK 4.0.exe
Результаты анализов: VT


=== 2018 ===

Вариант от 8 января:
Сообщение >>
Расширение: .FUCKMEDADDY
Файл: BIG DADDY COCK.exe
Описание: BIGDICKDADDDYPORN
Результаты анализов: VT

Вариант от 9 января:
Сообщение >>
Расширение: .CryptWalker
Файл: BitcoinBlackMailer.exe
Описание: Firefox
Результаты анализов: VT

Вариант от 19 января:
Сообщение >>
Расширение: .LOCKED_BY_pablukl0cker
Самоназвание: MADA RANSOMWARE
Email: rakolo23@gmail.com
Результаты анализов: VT
➤ Содержание текста о выкупе:
OOPS! YOUR FILES ARE CRYPTED BY MADA RANSOMWARE!!!
Your documents, photos, videos etc .
And after 72 hours, all your files will be removed premanently !!!
But there is nothing to worry about :) it will only happen when you fly in a fuck
Every hour I delete one randomly selected file and delete it premanently!!!
I can not recover such a file anymore, even after making the payment!!!
You will lose only a few files for the first 24 hours.
but the next day a few hundred, the third day, a few thousand, etc ...
If you turn off your computer or try to shut me down, I will fire again.
I automatically remove 1000 files permanently for trying to recommend me in a fuck!!!
Remember that even the best anti-virus is unable to recover encrypted files!
If you have any questions, please contact us via e-mail rakolo23@gmail.com!!!
Payment for decrypting files is only possible in BITCOIN!!!
If you do not know how to buy bitcoins, visit www.4coin.pl!!!
Now make a choice !!! pay and recover your files, or say goodbye to your files forever!!!


Вариант от 5 февраля:
Сообщение >>
Расширение: .#
Файл: Setup_install.exe
Результаты анализов: VT

Вариант от 6 февраля:
Сообщение >>
Расширение: .justice
Файл: Genel Maliyetler.exe
Результаты анализов: VT

Вариант от 13 февраля:
Сообщение >>
Ориентация: корейские пользователи
Расширение: .locked
Email: fbgwls245@naver.com
Файлы: Chrome32.exe, firefox.exe
Результаты анализов: VT + HA
 Список целевых расширений: .3g2, .3gp, .7zip, .aep, .aepx, .aet, .ai, .aif, .as.txt, .as3, .asf, .asp, .asx, .avi, .backup, .bmp.3dm, .class, .cpp, .cs, .csv, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dxf.c, .efx, .eps, .fla, .flv, .gif, .h, .html, .hwp, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js.aaf, .m3u, .m3u8, .m4u, .max.accdb, .mdb, .mid, .mkv.dat, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .raw, .rb, .rtf, .sdf, .ses.rar, .sldm.wav, .sldx, .sql.dwg, .svg, .swf, .tif, .vcf, .vob, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip (120 расширений).

Вариант от 1 марта:
Сообщение >>
Расширение: .contact-me-here-for-the-key-admin@adsoleware.com
Результаты анализов: VT
Статус: Дешифруется! Дешифровщик обновлён!

Вариант от 4 марта:
Сообщение >>
Расширение: .Bitconnect
Результаты анализов: VT

Вариант от 6 марта:
Сообщение >>
Расширение: .jes
Файл: GetFacebookPasswordV2.exe
Фальш-имя: Firefox
Результаты анализов: VT

Вариант от 14 марта:
Сообщение >>
Расширение: .email-[powerhacker03@hotmail.com].koreaGame
Цель: Корея. 
Email: powerhacker03@hotmail.com
Результаты анализов: VT

Вариант от 22 марта:
Фальш-имя: Firefox
Файл: BitcoinBlackmailer.exe
Результаты анализов: VT

Вариант от 26 марта:
Расширение: .fun
BTC: 3D1cnwtAr3zetyzuDA61HkSjeMg2W1418F
Название проекта: JigsawRansomware.pdb
Файл: tool pour lobby.exe
Результаты анализов: VT

Вариант от 28 марта:
Название проекта: BitcoinStealer.pdb
Файл: BitcoinStealer.exe
Результаты анализов: VT + VT

Вариант от 3 апреля:
Расширение: .onion
Результаты анализов: VT

Вариант от 3 апреля:
Расширение: .fun
Результаты анализов: VT

Вариант от 6 апреля:
Расширение: .LolSec
Результаты анализов: VT

Вариант от 17 апреля:
Самоназвание: Apophis Ransomware 
🎥 Видеообзор от GrujaRS >>
Расширение: .fun
Сумма выкупа: $500
BTC: 1Hd3tU8MDmuVotMgGJTJ7svzvPey6bfUgm
Файлы: ApophisRansomware.exe, apibooter.exe, drpbx.exe, _ReadMe_.txt 
Результаты анализов: HA + VT + VT + AR + VB


 
 Список целевых расширений:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip (126 расширений). 

Вариант от 17 мая:
Сообщение >>
Расширение: .booknish
Файл: JigsawRansomware.exe
Фальш-имя: Firefox
Целевые типы файлов: .bmp, .dat, .db, .doc, .gif, .h, .jpg, .ppt, .py, .swf, .txt, .wav, .xls, .xml, .zip
Результаты анализов: VT



Вариант от 3 июля:
Сообщение >>
Самоназвание: choda ransom (초다 랜섬웨어)
Расширение: .choda
Цель: Корея
Файл: 초다 랜섬웨어.exe
Результаты анализов: VT

Вариант от 5 июля:
Сообщение >>
Расширение: .coder007@protonmail.com
Email: coder007@protonmail.com
Файл: JigsawRansomware.exe
Фальш-имя: Firefox
Результаты анализов: VT

Вариант от 10 июля:
Сообщение >>
Расширение: .##___POLICJA!!!___TEN_PLIK_ZOSTA
Файл: JIGSAW_DZIALAJACY!!!-.exe
Результаты анализов: VT

Вариант от 23 июля:
Сообщение >>
Расширение: .black007
Результаты анализов: VT

Вариант от 1 августа:
Расширение: .invaded
Результаты анализов: VT

Вариант от 6 августа:
Версия: Turkish Jigsaw
Расширение: .tedcrypt

Вариант от 17 августа:
Расширение: .hacked.by.Snaiparul
Результаты анализов: VT

Вариант от 17 августа:
Расширение: .lockedgood
Результаты анализов: VT

Вариант от 17 августа:
Расширение: .fun
Результаты анализов: VT



Вариант от 17 августа:
Версия: Chinese 
Расширение: .pleaseCallQQ
Результаты анализов: VT

Вариант от 24 августа:
Версия: Polish 
Расширение: .#__EnCrYpTED_BY_dzikusssT3AM_ransomware!__#
Результаты анализов: VT

Вариант от 24 августа:
Расширение: .FuckedByGhost
Результаты анализов: VT

Вариант от 25 августа:
Расширение: .spaß
Текст на немецком языке. 
Создает новый ключ для каждого файла, который даже не сохраняется.


=== 2019 ===

Вариант от 14 января:
Сообщение >>
Расширение: .data
Сумма выкупа: 100€ (евро)
Текст на французском языке. 
Файл EXE: molotov.exe
Результаты анализов: VT



Вариант от 16 января 2019: 
Самоназвание: Oscar Venom
Сообщение: https://twitter.com/malwrhunterteam/status/1085949675012870144
Расширение: .venom
Файл: OscarRansomware.exe
Результаты анализов: VT

 

  


Вариант от 17 января: 
Расширение: .PC-FunHACKED!-Hello - повторяется 35 раз
Результаты анализов: VT



Вариант от 17 января: 
Поддельный Jigsaw Ransomware.
Пароль: 1212
Результаты анализов: VT




Вариант от 29 января: 
Сообщение >>
Самоназвание: ANTI-CAPITALIST
Расширение: .fun
Текст на французском языке. 
Результаты анализов: VT



Вариант от 31 января: 
Сообщение >>
Расширение: .YOLO
Email: redteam@yolosecfamework.com
➤ Список целевых расширений:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as.as3, .asf, .asp, .asx, .avi, .bmp.c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip (126 расширений).
Результаты анализов: VT + HA


➤ Текст вымогателей (содержит ошибки): 

Greeting and salutations, Blue Team.
Your personal files are deleting. Your company intellictual property is belonging to us now...
But, Red Team is not being so hearless. It will only happen if you don't pay ransom.
However we has encrypting so as not you can access them.
Every 10 minutes we are selects some of them to deleted permanently, therefore we cannot accessing them, either.
While Red Team is being merciful, Red Team is not without limiting patience.
We starts out slowmess then increasing delted files every 10 minutes.
This is to be helping you with the decision to pay ransom and recover datas. 
the next a few hundred, and a few thousand, and so on. You are getting the breeze, no?
If you are turning off your computer or closing window, when malware start next time we will 1000 files deleted as way of punishmenting you.
You wil be wanting malware to start next time, since only way that is capable to decrypting your personal datas for you.
Please be sending all payments to redteam@yolosecfamework.com
Also including unique hash in text box below or not know who to decrypted.
Send a picture of the blue team holding sign that say 'Red Team Rules' to: 
***


Вариант от 7 февраля: 
Сообщение: https://twitter.com/demonslay335/status/1093512884867530752
Расширение: .paycoin 

Вариант от 17 февраля: 
Версия: DeltaSEC Jigsaw
Сообщение: https://twitter.com/malwrhunterteam/status/1096850085697282049

Вариант от 2 апреля: 
Сообщение: https://twitter.com/malwrhunterteam/status/1113067683581321216
Расширение: .locked
Email: onlineservices1@usa.com 
Hacked by Z3b1 *** 

Вариант от 10 июля: 
Версия: Rodentia Jigsaw
Сообщение: https://twitter.com/malwrhunterteam/status/1148963349775945728

Вариант от 27 сентября: 
Сообщение: https://twitter.com/malwrhunterteam/status/1177517626521604097
Выглядит как Jigsaw. 
Расширение: .LOCKED_PAY

Новость от 19 ноября: 

Вариант от 20 ноября: 
Сообщение: https://twitter.com/demonslay335/status/1197186386136387586

Вариант от 7 декабря:
Версия: Czech/Slovak
Сообщение: https://twitter.com/malwrhunterteam/status/1203052551379341312
Сообщение: https://twitter.com/fbgwls245/status/1203492475291090945
Сообщение: https://twitter.com/raby_mr/status/1203915444945588224
Расширение: .fun

Вариант от 31 декабря:
Версия: AlbCry на основе Jigsaw. 
Сообщение: https://twitter.com/malwrhunterteam/status/1211730239128248321


=== 2020 ===

Вариант от 19 февраля: 
Сообщение: https://twitter.com/Jirehlov/status/1229927225081749504
Сообщение: https://twitter.com/GrujaRS/status/1230025038352519169
Расширение: .exe

Вариант от 1 мая: 
Сообщение: https://twitter.com/James_inthe_box/status/1256219698728972291
Расширение: .zemblax

Вариант от 16 мая: 
Сообщение: https://twitter.com/jstrosch/status/1261431163878588417

Вариант от 11 июля:
Топик на форуме >>
Расширение: .btc
Результаты анализов: VT



Вариант от 17 июля: 
Сообщение: https://twitter.com/Kangxiaopao/status/1284071330241892353
Расширение: .homer

Вариант от 25 октября: 
Сообщение: https://twitter.com/GrujaRS/status/1320118445732732933
Расширение: .evil


=== 2021 ===

Варианты от 8-10 сентября: 
Расширение: .fun
Результаты анализов: VT + AR + IA / VT + AR + IA 

Вариант от 3 апреля:
Сообщение: https://twitter.com/GrujaRS/status/1378357626749259778
Расширение: .cat

Вариант от 27 августа 2021:
Email: Jessie.pinkk@mailfence.com, Jessiepinkk@tutanota.com, JessieCage@cock.li




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam, GrujaRS, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *