Если вы не видите здесь изображений, то используйте VPN.

суббота, 28 апреля 2018 г.

GandCrab-3

GandCrab-3 Ransomware

(шифровальщик-вымогатель) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее для пострадавших из РоссииБеларусиКазахстана, Украины >>>

Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA-2048 для ключа, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GandCrab Ransomware v3. На файле написано: toalatspring.exe. Есть сведения, что вымогатели действуют из Румынии. Среди распространителей шифровальщика есть знающие русский язык. Для вас подготовлен видеообзор

Обнаружения:
DrWeb -> Trojan.DownLoader26.42166, Trojan.Encoder.24384
BitDefender -> Trojan.GenericKD.30681749, Trojan.GenericKD.30770008, Trojan.Ransom.GandCrab.Gen.2
Malwarebytes -> Ransom.GandCrab, Trojan.MalPack
Tencent -> Trojan.Win32.Gandcrab.j
TrendMicro -> Ransom_GANDCRAB.THEAEAH, Ransom.Win32.GANDCRAB.SMLA.hp

Symantec -> Ransom.GandCrab

© Генеалогия: GandCrab > GandCrab-2 > GandCrab-3 GandCrab-4 > GandCrab-5 > ...

К зашифрованным файлам добавляется расширение .CRAB 
Изображение не принадлежит шифровальщику (это логотип статьи)


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась на конец апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: CRAB-DECRYPT.txt

Содержание записки о выкупе:
---= GANDCRAB V3  =--- 
Attention! 
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB 
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files. 
The server with your key is in a closed network TOR. You can get there by the following ways: 
0. Download Tor browser - https://www.torproject.org/ 
1. Install Tor browser 
2. Open Tor Browser 
3. Open link in TOR browser:
4. Follow the instructions on this page 
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. 
The alternative way to contact us is to use Jabber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: http://sj.ms/register.php
    0) Enter "username": 21b1a2d1729f0695
    1) Enter "password": your password
2. Add new account in Psi
3. Add and write Jabber ID: ransomware@sj.ms any message
4. Follow instruction bot 
ATTENTION!
It is a bot! It's fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availibility anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf 
CAUGHTION! 
Do not try to modify files or use your own private key. This will result in the loss of your data forever! 

*| CAUGHTION! - видимо они хотели написать CAUTION! (ОСТОРОЖНО!)


Перевод записки на русский язык:
Внимание!
Все ваши файлы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .CRAB
Единственный способ восстановления файлов - купить закрытый ключ. Это на нашем сервере, и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытом сетевом TOR. Вы можете добраться туда следующими способами:
0. Загрузите Tor-браузер - https://www.torproject.org/
1. Установите Tor-браузер
2. Откройте Tor-браузер
3. Откройте ссылку в Tor-браузере: ***
4. Следуйте инструкциям на этой странице
На нашей странице вы увидите инструкции по оплате и получите возможность дешифровать 1 файл бесплатно.
Альтернативный способ связаться с нами - использовать Jabber messanger. Узнайте, как:
0. Загрузите Psi-Plus Jabber Client: https://psi-im.org/download/
1. Зарегистрируйте новую учетную запись: http://sj.ms/register.php
    0) Введите "имя пользователя": 21b1a2d1729f0695
    1) Введите "пароль": ваш пароль
2. Добавьте новую учетную запись в Psi
3. Добавьте и напишите Jabber ID: ransomware@sj.ms любое сообщение
4. Следите инструкциям
ВНИМАНИЕ!
Это бот! Это полностью автоматизированная искусственная система без человеческого контроля!
Чтобы связаться с нами, используйте TOR-ссылки. Мы можем предоставить вам все необходимые доказательства доступности расшифровки в любое время. Мы открыты для разговоров.
Вы можете прочитать инструкции по установке и использованию jabber здесь http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
ОСТОРОЖНО!
Не пытайтесь модифицировать файлы или использовать свой закрытый ключ. Это приведет к потере ваших данных навсегда!
Скриншот Tor-сайта вымогателей


Эта версия теперь делает надпись на Рабочем столе, заменяя обои на свои с надписью, чей текст обращён к пользователю ПК. 

Содержание текста: 
ENCRYPTED BY GANDCRAB 3
DEAR [user_name],
YOUR FILES ARE UNDER STRONG PROTECTION BY OUR SOFTWARE. IN ORDER TO RESTORE IT YOU MUST BUY DECRYPTOR
For further steps read CRAB-DECRYPT.txt that is located in every encrypted folder.


Комбинированный скриншот: записка, сайт, зашифрованные файлы



Технические детали

GandCrab v3.0 активно распространяется помощью набора эксплойтов Magnitude,  email-спама и вредоносных вложенийМожет также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью обманных загрузок, других эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов, торрент-файлов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Следует отметить, что GandCrab-3 Ransomware существенно отличается от 2-й версии. Сбрасываемый файл содержит закодированный двоичный файл и распаковывает его для создания итогового исполняемого EXE-файла в памяти. Этот исполняемый файл создает в памяти вредоносный DLL-файл, который выполняет фактическую функцию Ransomware и внедряет код в этот процесс после выполнения обычного процесса svchost.exe. Целевой процесс svchost.exe жестко закодирован в файле. Существующий бестелесный GandCrab сравнивается с тем, который вводится в процесс explorer.exe. DLL-файл, внедренный в процесс, похож на поток кода и метод работы с уже известным DLL-файлом. 

➤ Визуальные отличия от предыдущих версий:
- изменение текста записки о выкупе;
- использование сайта carder.bit в качестве сервера;
- использование Psi-Plus Jabber для связи; 
- добавление изображения с текстом на Рабочий стол;
- перезагрузка после шифрования и установки обоев;
- добавление своего ключа в Автозагрузку Windows.*

*| Для пользователей Windows 7 есть проблема с этим методом, поскольку ключ в Автозагрузке заставляет браузер открывать Tor-сайт и отображает фон, но не отображает Рабочий стол.

➤ Ресурсы шифровальщика забиты текстами на разных экзотических языках. Всё это кажется бессмысленным набором текста. На самом же деле этот приём уже известен исследователем и его участие в процессе шифрования понятно. 

Список файловых расширений, подвергающихся шифрованию:
.accdb, .acl, .acrodata, .avi, .bak, .blf, .bmp, .conf, .contact, .crl, .csv, .dat, .db, .dic, .doc, .docx, .dotm, .dotx, .flv, .gif, .hve, .ini, .jpeg, .jpg, .js, .json, .laccdb, .lnk, .library-ms, .log, .log1, .m4a, .mdb, .mdw, .mkv, .mp3, .mp4, .mpt, .odp, .ods, .odt, .one, .onetoc2, .ots, .pdf, .pem, .png, .pps, .ppt, .pptx, .pst, .rdf, .rtf, .sdi, .search-ms, .sol, .sql, .sqlite, .srs, .swf, .txt, .url, .wav, .wim, wmv, .wtv, .xls, .xlsx, .xml, .xsl (70 или больше расширений), файлы без расширений, файл bootmgr, файлы, находящиеся в директориях System Volume Information. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CRAB-DECRYPT.txt
jin.exe (nslookup.exe)
kiqdsc.exe
kssbel.exe
apphelp.dll
<random>.exe - случайное название

Открытые мьютексы: 
RasPbFile
ShimCacheMutex 

Расположения:
\Desktop\ ->
\User_folders\ ->
%APPDATA%\Microsoft\kiqdsc.exe
%APPDATA%\Microsoft\kssbel.exe
%WINDIR%\system32\apphelp.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: gandcrab2pie73et.onion
Psi-Plus Jabber Client: ransomware@sj.ms

ns2.wowservers.ru (94.249.60.127 Иордания)
ns1.wowservers.ru (94.249.60.127 Иордания)
ransomware.bit
carder.bit (66.171.248.178:80 США)
xxxx://ipv4bot.whatismyipaddress.com (66.171.248.178 TTL:299 США)
94.249.60.127:53 Иордания
xxxx://financialbroker.gq/***
xxxx://rated.dadsrnp.xyz/***
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>  HA>>  HA>>
𝚺  VirusTotal анализ >>  VT>>  VT>>
ᕒ  ANY.RUN анализ >> + AR RigEK>>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
   
GandCrab Ransomware
GandCrab RaaS Ransomware
GandCrab-2 Ransomware
GandCrab-3 Ransomware
GandCrab-4 Ransomware
GandCrab-5 Ransomware




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 10 мая 2018:
Пост в Твиттере >>
Расширение: .CRAB
Записка: CRAB-DECRYPT.txt
Файл: resume.js
Результаты анализов: HA + VT
Скриншоты записок и сайтов >>



Обновление от 11 мая 2018:
Списки URL-адресов сайтов-распространителей >>

Обновление от 14 мая 2018:
Пост в Твиттере >>
Расширение: .CRAB
Файлы: <random>.exe
\AppData\Local\Temp\\pidor.bmp
Список URL: 
xxxxs://pastebin.com/XvxRyj0x
xxxxs://pastebin.com/Xyq634RE

Обновление от 29 мая 2018:
Расширение: .CRAB
Файлы: <random>.exe (примеры: rt0fv0ph.exe, nhkaro.exe)
\AppData\Local\Temp\\pidor.bmp - видимо изображение, встающее на обои

Использует вредоносные DOC-файлы с макросами для инфицирования при открытии. 
Пример такого файла: dhl_invoice_18553.doc  Документ на данный момент на корейском. 
Ориентация: Windows7_64_sp1 MSOffice 2016 и старше
URL: xxxx://carder.bit/ (95.153.32.6)
xxxx://my-dhl-invoice.top/dhl_invoice_18553.doc***
Результаты анализов: HA + VT + VMRay + ANY.RUN
Дополнительно:  v.3.0.1 - VMRay





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (~ID as GandCrab3)
 Write-up, Post of Topic, Topic of Support
 🎥 Video review >>
Added later:
Write-up on BleepingComputer (on May 4, 2018)
Write-up on VMRay (on June 5, 2018)
*
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 (victim in the topics of support)
 Marcelo Rivero, Andrew Ivanov
 CyberSecurity GrujaRS
 Lawrence Abrams
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 27 апреля 2018 г.

RandomLocker

RandomLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: RandomLocker. На файле написано: Ransomware.exe👾

© Генеалогия: выясняется. 

К зашифрованным файлам добавляется расширение .rand

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступают изображение, встающее обоями Рабочего стола. 

Другим информатором жертвы выступает экран блокировки с таймером:

Содержание текста о выкупе:
Ooops, your files have been encrypted!
Encryption was produced using unique key generated for this computer.
To decrypt files, you need to otbtain private key.
The single copy of the private key, with will allow you to decrypt the files, is located on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.
Payment have to be made withinn 24 hours
To retrieve the private key, you need to pay 10$ in BTC
Bitcoins have to be sent to this address: 3GPg3tgwZakR5uTELzjMJRj1NarxHH9YdJ
After you've sent the payment send us an email to randomlocker@tuta.io with subject: UNLOCK ***
If you are not familiar with bitcoin you can buy it from here:
SITE: www localbitcoin.com
After we confirm the payment, we will send the private key so you can decrypt your system.
---
FILES DELETED IN
01:58:24
About bitcoin
How to buy bitcoins?
Show Encrypted Files
Contact Us
[***] [Decrypt]

Перевод текста на русский язык:
Упс, ваши файлы были зашифрованы!
Шифрование сделано с уникальным ключом, созданным для этого компьютера.
Чтобы расшифровать файлы, вам нужно получить закрытый ключ.
Единственная копия закрытого ключа, позволяющая расшифровать файлы, находится в секрете в Интернете;
Сервер уничтожит ключ в течение 24 часов после завершения шифрования.
Оплата должна быть произведена в течение 24 часов
Чтобы получить закрытый ключ, вам надо заплатить 10$ в BTC
Биткоины должны быть отправлены на этот адрес: 3GPg3tgwZakR5uTELzjMJRj1NarxHH9YdJ
После отправки платежа отправьте нам письмо на randomlocker@tuta.io с темой: UNLOCK ***
Если вы не знакомы с биткоином, вы можете купить его здесь:
САЙТ: www localbitcoin.com
После подтверждения оплаты мы отправим секретный ключ, чтобы вы могли расшифровать свою систему.
---
ФАЙЛЫ УДАЛЯТСЯ
01:58:24
О биткоинах
Как купить биткоины?
Показать зашифрованные файлы
Связь с нами
[***] [Дешифровать]

У данного вымогателя имеется опция настройки, через которую вводится код разблокировки и расшифровываются файлы на компьютере. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: randomlocker@tuta.io
BTC: 3GPg3tgwZakR5uTELzjMJRj1NarxHH9YdJ
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RandomLocker)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

UselessFiles

UselessFiles Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: UselessFiles. На файле написано: UselessFiles.exe и EXPLORER.EXE.

© Генеалогия: UselessDisk > UselessFiles

К зашифрованным файлам добавляется расширение .UselessFiles

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops,your files hava been encrypted!
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily.
But if you want to decrypt all your files, you need to pay.
How Do I Pay?
Payment is accepted in Bitcoin only.Please check the current price of Bitcoin and buy some bitcoins.And send the correct amount to the address specified in this window.Once the payment is checked, you can start decrypting your files immediately.
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!
Send $300 worth of bitcoin to this address:
1GZCw453MzQr8V2VAgJpRmKBYRDUJ8kzco
[Copy]
[Check Payment]

Перевод записки на русский язык:
Упс, ваши файлы были зашифрованы!
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов теперь не доступны, т.к. они были зашифрованы. Возможно, вы ищете способ восстановить свои файлы, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы расшифровки.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко.
Но если вы хотите расшифровать все ваши файлы, вам нужно заплатить.
Как мне заплатить?
Оплата принимается только в биткоинах. Пожалуйста, проверьте текущую цену биткоина и купите немного биткоинов. И отправьте правильную сумму по адресу, указанному в этом окне. После того, как платеж будет проверен, вы сможете сразу начать дешифрование своих файлов.
Мы очень рекомендуем вам не удалять эту программу и на некоторое время отключить антивирус, пока вы не заплатите, и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, она не сможет восстановить ваши файлы, даже если вы заплатите!
Пошлите биткоины на $300 по этому адресу:
1GZCw453MzQr8V2VAgJpRmKBYRDUJ8kzco
[Copy]
[Check Payment]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
UselessFiles.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1GZCw453MzQr8V2VAgJpRmKBYRDUJ8kzco
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>   VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as UselessFiles)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KCW

KCW Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует веб-файлы (html, php) на взломанных сайтах, которые команда хакеров предварительно взломала. Затем атакующие выдвигают свои требования, прописанные в php-файле. Оригинальное название: KCW RaNsOMWarE. Атакующие: Team Kerala Cyber Warriors.
 Изображения, используемые хакерами

Для справки: 
Team Kerala Cyber Warriors или команда Kerala Cyber Warriors — это группа из 15 белых (этических) хакеров из штате Керала (Индия). Они начали работу как группа с таким названием в декабре 2015 года. С тех пор группа стала больше и они атакуют сайты, тематикой которых являются онлайн-проституция, порнография, насилие, педофилия, кроме этого также сайты всяческих извращенцев, секс-чатов, страницы таких групп в Facebook. Они передают данные владельцев сайтов в полицию и Главной задачей, которую они поставили перед собой, это очистить Facebook в Индии от вышеперечисленного. На их счету уже более 1000 сайтов, относящихся к Индии, Пакистану и к другим ближайшим странам. По разным национальным причинам Kerala Cyber Warriors также атакуют официальные и персональные сайты Пакистана и Бангладеш. В ответ на вопросы они отвечают, что "они первые начали атаковать индийские сайты". Члены группы называют себя кодовыми именами и делают то, что мы ожидаем от киберполиции...  Из описания и заявления этих хакеров.

© Генеалогия: предыдущие Ransomware от команды KCW.

К зашифрованным файлам добавляется расширение .kcwenc

Активность хакеров с использованием этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на сайты Пакистана. 

Запиской с требованием выкупа выступает экран блокировки: kcwdecrypt.php

Содержание записки о выкупе:
✗KCW RaNsOMWarE✗
 YOUR SITE IS INFECTED BY KCW RANSOMWARE 
 YOUR FILES HAVE BEEN ENCRYPTED 
 ENTER THE KEY TO DECRYPT FILES 
[   ]
We are Legion... We do not Forgive... We do not Forget... Expect us
GREETZ TO:
GH057_R007 | 8L4CK_P3RL | F0R81DD3N_H4CX3R | RED LIZARD | S3CU617Y_R1PP36 | 4N0N_5P1D3R | RED_LIZARD
CH@CH_4-RC7 | M3GA_M1ND | D0PP3l_64N63R | K1LL3R_C0BR4{PP} | C0D3_PH03N1X | 5H4D0W_HUN73r
B4HZ1 | 4S7R4 | V33R4PP4N | C47_HUN73R | CJ_N4P573R | 5H1VJ1_M4H4R4J | PH4N70M
>>>CONTACT KERALA CYBER WARRIORS<<<

Перевод записки на русский язык:
✗KCW RaNsOMWarE✗
  ВАШ САЙТ ЗАРАЖЁН KCW RANSOMWARE
  ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
  ВВЕДИТЕ КЛЮЧ ДЛЯ ДЕШИФРОВКИ ФАЙЛОВ
[   ]
Мы Легион ... Мы не прощаем ... Мы не забудем ... Ждите нас
ПРИВЕТЫ:
GH057_R007 | 8L4CK_P3RL | F0R81DD3N_H4CX3R | RED LIZARD | S3CU617Y_R1PP36 | 4N0N_5P1D3R | RED_LIZARD
CH@CH_4-RC7 | M3GA_M1ND | D0PP3l_64N63R | K1LL3R_C0BR4{PP} | C0D3_PH03N1X | 5H4D0W_HUN73r
B4HZ1 | 4S7R4 | V33R4PP4N | C47_HUN73R | CJ_N4P573R | 5H1VJ1_M4H4R4J | PH4N70M
>>> КОНТАКТ KERALA CYBER WARRIORS <<<







Технические детали

Распространяется путём взлома сайтов через уязвимости веб-сайтов, через незащищенную конфигурацию RDP. Могут использоваться email-спам и вредоносные вложения, обманные загрузки, эксплойты, веб-инжекты и прочие методы. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Целями являются только веб-файлы на взломанных сайтах: .html, .php
При открытии зашифрованных файлов может открыться следующее сообщение "ERROR 500 - INTERNAL SERVER ERROR". 


Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
kcwdecrypt.php

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://www.arainwelfare.org - взломанный сайт
xxxxs://www.facebook.com/KeralaCyberWarriors  - официальная страница
https://www.facebook.com/KeralaCyberWarriors/videos/509207089249328/ - страница с видео-демонстрацией
xxxxs://en.wikipedia.org/wiki/Kerala_Cyber_Warriors - вики о группе
См. ниже результаты анализов.


Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Группа Kerala Cyber Warriors также известна своими протестами против произвола, разных общественных организаций, чья деятельность носит противоречивый или аморальный характер. Вот несколько таких примеров. 
➤ Например, в августе 2016 года Kerala Cyber Warriors взломали сайт "People for Animals" (Люди для животных), принадлежащий организации под председательством министра юстиции Манеки Ганди, через два дня после того, как 65-летняя женщина была убита стаей из 50 бродячих собак в городе Тируванантапураме, столице штата Керала. Этот протест был ответной мерой против Манеки Ганди, убеждённого защитника запрета на убийство бездомных собак. Потом сайт был восстановлен. 

➤ В феврале 2017 года группа Kerala Cyber Warriors, состоящая уже из 28 членов, опубликовала подробную информацию о 35 страницах и 25 группах в Facebook, которые участвовали в распространении в Интернете аморальных и оскорбительных материалов порнографического содержания с участием женщин и несовершеннолетних и удалили весь их контент. 
Kerala Cyber Warriors назвала эту кибер-атаку операциями #OP_INDIA_ONLINE_PROSTITUTION & #OP_INDIA_SEX_CHATTING. После этого KCW разместила записку о взломе на этих страницах и группах.
KCW сказали, что они будут продолжать проводить подобные операции в будущем, т.к. в Facebook ещё есть более 10000 страниц связанных с детским порно. 

Хакеры после взлома размещают записи как от лица всей группы, так и персональные. Чаще я встречал следующий список группы. 
На следующем скриншоте можно видеть взломанную страницу секс-чата в Facebook. Хакер под именем GHO57_R007 (TINTU) вставил на этой странице заранее заготовленный им текст. 
Содержание этой записки:
HACKED BY GHO57_R007 (TINTU)
TEAM KERALA CYBER WARRIORS
#KERALACYBERWARRIORS
THIS PAGE HAS BEEN HACKED !! THIS IS OUR LAST WARNING.
WE WILL HUNT YOUR PROFILES, GROUPS AND SUCH PAGES RELATED TO SEX CHATTING AND ONLINE PROSTITUTION !!!!
BETTER STOP THIS BULLSHIT !!! WE WILL HACK YOU AND EXPOSE YOUR REAL FACE TO THE PUBLIC.
#OP_INDIAN_ONLINE_PROSTITUTION #OP_INDIAN_SEX_CHATTING
WE ARE: GH057_R007 | 8L4CX P3RL | MR.545 | F0R81DD3N H4CX3R | WHITE_DRAGON | RED LIZARD | C0D3_BR34K3R | S3CU617Y_R1PP36 | C0DE_ZER0 | AN0N R4NG3R | HACKER 13 | R007_SH3LL | 1R0N M4N | 4N0N 5P1D3R |AQU HAXOR
WE ARE LEGION
WE DO NOT FORGIVE
WE DO NOT FORGET
EXPECT US
Перевод на русский язык: 
ВЗЛОМАНО GHO57_R007 (TINTU)
TEAM KERALA CYBER WARRIORS
#KERALACYBERWARRIORS
ЭТА СТРАНИЦА БЫЛА ВЗЛОМАНА! ЭТО НАШЕ ПОСЛЕДНЕЕ ПРЕДУПРЕЖДЕНИЕ.
МЫ БУДЕМ ОХОТИТЬСЯ НА ВАШИ ПРОФИЛИ, ГРУППЫ И ТАКИЕ СТРАНИЦЫ, СВЯЗАННЫЕ С СЕКСОМ И ОНЛАЙН-ПРОСТИТУЦИЕЙ !!!!
ЛУЧШЕ ПРЕКРАТИТЕ ЭТУ ДЕРЬМО !!! МЫ БУДЕМ ВЗЛОМАТЬ ВАС И РАЗОБЛАЧИМ ВАШЕ НАСТОЯЩЕЕ ЛИЦО.
#OP_INDIAN_ONLINE_PROSTITUTION #OP_INDIAN_SEX_CHATTING
МЫ: GH057_R007 | 8L4CX P3RL | MR.545 | F0R81DD3N H4CX3R | WHITE_DRAGON | КРАСНАЯ ЯЩЕРИЦА | C0D3_BR34K3R | S3CU617Y_R1PP36 | C0DE_ZER0 | AN0N R4NG3R | ХАКЕР 13 | R007_SH3LL | 1R0N M4N | 4N0N 5P1D3R | AQU HAXOR
МЫ ЛЕГИОН
МЫ НЕ ПРОЩАЕМ
МЫ НЕ ЗАБЫВАЕМ
ЖДИТЕ НАС





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as KCW)
 Write-up, Topic of Support
🎥 Video review by BleepingComputer >>
 - видеодемонстрация от Kerala Cyber Warriors

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *