Если вы не видите здесь изображений, то используйте VPN.

понедельник, 19 октября 2015 г.

BitLocker

BitLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп от 0.22 до 1-2 BTC или больше, чтобы вернуть файлы. Оригинальное название: BitLocker, bitlocker. 

👉 Вымогатели показательно использовали BitLocker, включенный в ОС Windows Professional и Enterprise, чтобы шифровать файлы. BitLocker оказался уявимым легитимным ПО шифрования данных. Из-за этого злоумышленники смогли использовать его для шифрования файлов на ПК пострадавших и вымогательства у них денег. 

Позже некоторые пострадавшие купили пароль у вымогателей и несколько раз подтвердили, что использовался пароль: =-0987654321!@#$%^&*()_++_)(*&^%$#@!
После 16 июля 2016 года этот пароль был изменен. 
--- 

© Генеалогия: Microsoft 
BitLocker >> BitLocker Ransomware

Изображение — логотип статьи

К зашифрованным файлам никакое расширение не 
добавляется.

Активность этого крипто-вымогателя началась в 2015 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Согласно данным от пострадавших, злоумышленники не прекращали свою вымогательскую деятельность на протяжении нескольких лет. 
Последний пострадавший сообщил о продолжающемся вымогательстве в декабре 2020 года. То, что выплаты до сих пор активны, подтверждается новым BTC-адресом, на который поступают биткоины. Кошельки регулярно меняются. 

Записка с требованием выкупа называется: PLEASE READ.txt


Содержание записки о выкупе:

Hello there.
I would like to tell you first I'm sorry about that. Your documents, files, databased most are in original places or some moved to your local data. If you want to regain access to your local disk, all your files, documents, etc please send 1 BTC (Bitcoin) to this address: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM as fast as you can and email me at sociopatii@yahoo.com If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 1 BTC to this address: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
It's not my fault if you are try to format disk and lose all. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 1 Bitcoin to this address: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
It's just business not trying to get your money and then to not give to you the bitlocker password. Waiting for your reply to my email address ( sociopatii@yahoo.com ) if you wanna get the bitlocker password. Thanks for your time!


Перевод записки на русский язык:
Привет всем.
Я хотел бы сказать вам, первое, сожалею об этом. Ваши документы, файлы, базы данных на месте или некоторые ваши локальные данные перемещены. Если хотите вернуть доступ к вашему локальному диску, всем вашим файлам, документам и т.д., пошлите 1 BTC (биткойн) на этот адрес: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM как можно быстрее и напишите мне на email sociopatii@yahoo.com Если вы не знаете, что есть биткойн, спросите меня о веб-сайте биткойн, где вы можете купить его быстро, или ищите в Google местный биткойн-магазин или банкомат и пошлите 1 BTC на этот адрес: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
Я не виноват, если вы отформатируете диск и все потеряете. Есть только один путь вернуть все и восстановить доступ к вашему локальному жесткому диску, и этот путь прислать 1 биткойн на этот адрес: 18jAZHhC8uy13n2Ym7YTTmTBfr9r8tivDM
Это просто бизнес, не попытка получить ваши деньги, а затем не дать вам bitlocker пароль. Жду вашего ответа на мой email адрес sociopatii@yahoo.com, если вы хотите получить bitlocker пароль. Спасибо за ваше время!




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Шифруются локальные и внешние диски, и все пользовательские файлы на них. 
Среди них наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
PLEASE READ.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Пароль для расшифровки файлов: 
=-0987654321!@#$%^&*()_++_)(*&^%$#@!

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sociopatii@yahoo.com
Первая выплата на этот кошелек: 15 февраля 2015 года.
Последняя выплата: 14 января 2016 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 


См. ниже в обновлениях другие адреса и контакты.

См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 октября 2015:
Email: sociopatii@yahoo.com
За неимением более раннего варианта записки, эти данные также указаны в основной статье. На этот BTC-кошелек платежи поступали уже с 15 февраля 2015 года. 


Обновление от 20-27 октября 2015:
Email: cage1@gmx.us


➤ Содержание записки:
Hello there. 
I would like to tell you first I'm sorry about that. Your documents, files, databased most are in original places or some moved to your local data. If you want to regain access to your local disk, all your files, documents, etc please send 1 BTC (Bitcoin) to this address: 1PFkYtDbxQRTv8Xse77u7wYG5bht8QB6e2 as fast as you can and email me at cage1@gmx.us If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 1 BTC to this address: 1PFkYtDbxQRTv8Xse77u7wYG5bht8QB6e2 
It's not my fault if you are try to format disk and lose all. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 1 Bitcoin to this address: 1PFkYtDbxQRTv8Xse77u7wYG5bht8QB6e2 
It's just business not trying to get your money and then to not give to you the bitlocker password. Waiting for your reply to my email address ( cage1@gmx.us ) if you wanna get the bitlocker password. Thanks for your time!
---
Скриншоты кошелька вымогателей: 
 

Первая выплата на этот кошелек: 20 октября 2015 года.
Последняя выплата: 14 января 2016 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 


=== 2016 ===


Обновление от 1 мая 2016:
Записка: PLEASE READ.txt
Email: datebatut@gmail.com, datebatut@pochta.com

➤ Содержание записки:
Hello there. 
I would like to tell you first I'm sorry about that. Your documents, files, database, most are in original places or some moved to your local data. If you want to regain access to your local disk, all your files, documents, etc please send 2 BTC (Bitcoin) to this address: 15W3WjTsvx6Ao1vj9DiiYGuSTKcPHcFDqS as fast as you can and email me at datebatut@gmail.com If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 2 BTC to this address: 15W3WjTsvx6Ao1vj9DiiYGuSTKcPHcFDqS
It's not my fault if you are try to format disk and lose all. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 2 Bitcoin to this address: 15W3WjTsvx6Ao1vj9DiiYGuSTKcPHcFDqS
It's just business not trying to get your money and then to not give to you the bitlocker password. Waiting for your reply to my email address ( datebatut@gmail.com or datebatut@pochta.com if the gmail not work ) if you wanna get the bitlocker password. 
Please do not hesitate to contact me should you have any questions or concerns.
Thanks for your time!
---
Скриншоты кошелька вымогателей: 
 

Первая выплата на этот кошелек: 19 января 2016 года.
Последняя выплата: 13 июля 2016 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 



=== 2017 ===

Обновление от 20 февраля 2017: 
Помещает файлы в виртуальный жёсткий диск (VHD), затем требует выкуп в 0.5 BTC.
Email: davidblainemagique@gmail.com, davidblaine@mail2world.com
Записка: PLEASE READ.txt

➤ Содержание записки:
Hello there.  You can also use https://translate.google.com/
I would like to tell you first I'm sorry about that. Your documents, files, database, most are in original places or some moved to your local data. If you want to regain access to your local data please send 0.5 BTC (Bitcoin) to this address: 1AKjQCDsYBesGE1V7UGdGadbRop41py1ch as fast as you can and email me at davidblainemagique@gmail.com If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 0.5 BTC to this address: 1AKjQCDsYBesGE1V7UGdGadbRop41py1ch
It's not my fault if you are trying to format disk and lose all, encrypted files are not recoverable without bitlocker passoword. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 0.5 Bitcoin to this address: 1AKjQCDsYBesGE1V7UGdGadbRop41py1ch
It's just business not trying to get your money and then to not give your bitlocker password. Only me can give your password to unlock your Locals 
Disk so this is the only chance to get all back. Waiting for your reply to my email address ( davidblainemagique@gmail.com or to my second email in case gmail not work davidblaine@mail2world.com  ) if you wanna get the bitlocker password.
If you have any questions please feel free to contact me at anytime.
Thanks for your time!
PS: Your files are here on VIRTUAL HARD DISK the location is here
C:\drivers\s.vhd
See here how to open your drive
https://www.youtube.com/watch?v=m3Pxn23dFuQ
---
Скриншоты кошелька вымогателей: 
 

Первая выплата на этот кошелек: 19 ноября 2016 года.
Последняя выплата: 26 марта 2017 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 



=== 2018 ===
=== 2019 ===


=== 2020 ===

Обновление от 23 декабря 2020:
Email: bitlockerlock.unlock@gmail.com, davidblaine@mail2world.com
Новый BTC-кошелек: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8


➤ Содержание записки:
Hello there.  
I would like to tell you first I'm sorry about that. Your documents, files, database, most are in original places or some moved to your encrypted local data. If you want to regain access to your local data please send 500 AUD in  BTC (Bitcoin) to this address: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8 fast as you can and email me at bitlockerlock.unlock@gmail.com to get your bitlocker password to unlock all data. You can buy bitcoin(legal cryptocurrence in your country, so no any illegal stuff) using bank wire, credit\debit card, paypal, almost all payments method worldwide. Very easy and secure to buy bitcoin from your location. You have to pay for decryption in Bitcoins. After payment we will send you the bitlocker key that will decrypt all your files. If you dont know what bitcoin is, please ask me for bitcoin website that you can buy it fast or search on google for a local Bitcoin shop or ATM and transfer 500 AUD in  BTC to this address: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8
It's not my fault if you are trying to format disk and lose all, encrypted files are not recoverable without bitlocker password. Here are only one way to get all back and regain access to your local hard disk drive and this way is to send 500 AUD in  BTC Bitcoin to this address: 12js6G3Fx9ZrvZEHrJUENRVoHTYD8cv6h8
After payment, we will send you the Bitlocker password that will decrypt all your files instantly. It's just business not trying to get your money and then to not give your bitlocker password. Only me can give your password to unlock your Locals Disk so this is the only chance to get all back. Waiting for your reply to my email address ( bitlockerlock.unlock@gmail.com or to my second email in case gmail not work davidblaine@mail2world.com  ) for bitlocker password. 
If you have any questions please feel free to contact me at anytime. 
GET 20% OFF IF YOUR PAYMENT IS DONE IN 24 HOURS. 
bitlockerlock.unlock@gmail.com
Thanks for your time!
---
Примечательно, что в записке сумма выкупа указана в австралийских долларах (AUD). 
---
Скриншоты кошелька вымогателей: 
 

Первая выплата на этот кошелек: 30 ноября 2020 года.
Последняя выплата: 23 декабря 2020 года. 
См. скриншоты с датами и суммой, набранной вымогателями. 
---
Еще адреса:
unlock.locked.bitlocker@gmail.com
bitlockerlock.unlock@gmail.com




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author), quietman7
 to the victims who reported on the forum
 ***
 ***
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 17 сентября 2015 г.

Chimera

Chimera Ransomware

(шифровальщик-вымогатель, публикатор) 

Translation into English


   Этот крипто-вымогатель шифрует все файлы, которые находит на всех подключенных дисках, а затем требует 0,939 биткоинов, чтобы вернуть файлы. Chimera не только шифрует файлы, но и публикует их в Интернете, если выкуп не выплачивается.

Обнаружения:
DrWeb -> Trojan.Encoder.1980
Avast -> MSIL:Crypchim-A [Trj]
BitDefender -> Gen:Variant.Ransom.Chimera.6
ESET-NOD32 -> A Variant Of MSIL/Injector.LXY
Kaspersky -> Trojan-Ransom.Win32.Chimera.a
Microsoft -> TrojanDropper:Win32/Chicrypt.A
Rising -> Ransom.Chimera!8.32AF (CLOUD)
TrendMicro -> Ransom_CRYPCHIM.B

Зашифрованные файлы получали расширение .crypt
Позже расширение стало в формате .<4_random_chars>
Примеры: .MnDf, .PzZs, .RThY.

  После того, как файлы будут зашифрованы, Chimera отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, даёт инструкции о том, как произвести оплату и получить ссылку на декриптер, который нужно запустить для расшифровки файлов, когда платеж будет сделал и вымогатель получит подтверждение. 

 Записки о выкупе называются: 
YOUR_FILES_ARE_ENCRYPTED.HTML
YOUR_FILES_ARE_ENCRYPTED.TXT

  На обои ставится изображением с именем <random>.gif
  Внизу html-сообщения можно видеть, что Chimera также набирает новых аффилиатов в партнерскую программу по распространению самой себя. 


Технические детали


 Распространяется через email-спам, содержащий ссылки на веб-страницу Dropbox. В отличие от других вымогателей Chimera не использует Tor-сайт для управления платежами и загрузки декриптера. Вместо этого в качестве способа связи с разработчиком вымогателя используется Bitmessage, криптографический мессенджер для обмена сообщениями, использующий децентрализованную P2P-сеть. Bitmessage, как нельзя лучше подходит для обмена данными между компьютером жертвы и сервером управления вредоносного ПО разработчика. Преимущество Bitmessage в том, то его сеть работает по принципу шифрования всех входящих и исходящих сообщений каждого пользователя, используя сильные алгоритмы шифрования таким образом, что только получатель сообщения способен его расшифровать.

  Когда Chimera заражает ПК жертвы, он использует встроенное приложение PyBitmessage, чтобы отправить разработчику сообщение, содержащее следующую информацию: секретный ключ жертвы, ID "железа" машины и Bitcoin-адрес для оплаты. 

Список файловых расширений, подвергающихся шифрованию:
.jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .cfg, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .cs, .asp, .aspx, .cgi, .h, .cpp, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .js, .jar, .py, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .lnk, .po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, .lib, .cert, .p12, .cat, .inf, .mui, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .zip, .rar, .gzip, .vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi, .ptx, .ape, .aif, .wav, .ram, .ra, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa, .aa3, .amr, .mkv, .dvd, .mts, .qt, .vob, .3ga, .ts, .m4v, .rm, .srt, .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm, .xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, .epub, .pdf (226 расширений). 

  Декриптер от вымогателей поставляется как msi-установщик. Он имеет понятный интерфейс и направляет жертву через весь процесс дешифровки файлов. 

  Когда пользователь загружает и устанавливает декриптер в папку C:\Program Files (x86)\Chimera Decrypter, вместе с ним ставится Bitmessage. После запуска Bitmessage работает в режиме ожидания поступления платежа на указанный Bitcoin-адрес. 

Подробности работы приложения и метод получения ключа от вымогателей опускаем. Желающие могут ознакомиться с ними самостоятельно в статье Лоуренса Абрамса.

Анализ на VirusTotal >>>
Анализ на HybridAnalysis >>>


Степень распространенности: была высокая.
Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Имеются сведения, что теперь расширение, добавляемое после шифрования, может иметь вид .<4_random_chars> — случайный четырехбуквенный разнорегистровый код, например, .MnDf, .PzZs, .RThY.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать RakhniDecryptor для дешифровки >>
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov (author)
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.


пятница, 11 сентября 2015 г.

BabushkaYaga

BabushkaYaga  Ransomware 

BabushkaLocker Ransomware 

(шифровальщик-вымогатель)

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует выкуп в 5000 +/- рублей за дешифратор, чтобы вернуть файлы. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .block


Изображение не принадлежит шифровальщику

Шифровальщики "Баба-Яга" и "Бабушка Яга" известны с 2013 года, периодически видоизменялись или перепродавались другим вымогателям. Новая версия появилась в 2015 году, активность продолжалась с ноября 2015 по март 2016. Ориентирован на русскоязычных пользователей, что не мешает распространять его где угодно. Написан на MSIL. 

2015
Записки с требованием выкупа 2015 года называются code.txt и разбрасываются во все папки с зашифрованными файлами, в том числе и на Рабочий стол. 

Содержание записки о выкупе:
Баба Яга зашыфровала все вашы файлы. Пишите на почту yagababushka@yahoo.com для получения инструкций. Не забудьте указать кодовое слово - Guyana
Внимание! Попытки самостоятельно расшифровать файлы приведут лишь к их безвозвратной порче.

Ошибки в тексте: буква "ы" я выделил красным. 

2016 Записки с требованием выкупа 2016 года называются readme!.txt и (или readMe!.txt) разбрасываются во все папки с зашифрованными файлами, в том числе и на рабочий стол. Записку дублирует изображение, встающее обоями Рабочего стола.

Содержание записки о выкупе:
Внимание! Ваши файлы зашифрованы. 
Обязательно отправьте на e-mail yaga.babushka@yahoo.com один из файлов для получения инструкций. 
Попытки самостоятельно расшифровать файлы приведут к их безвозвратной порче. 
ОБЯЗАТЕЛЬНО укажите ваш ID - 22301012rdj1 

Варианты ID: 
242015123vgb
9201619nsj2
18201617uuj1
272015124et2

Распространяется с помощью email-спама и вредоносных вложений (название документа MS Office на русском с расширениями .exe, .scr, .bat), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

При шифровании выбирается один из 10 публичных RSA-ключей, зашитых в программе. 

После шифрования теневые копии файлов удаляются командой:
vssadmin.exe Delete Shadows /All /QuietDEL s.bat

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
readme!.txt или readMe!.txt
yaga.exe
s.bat
<random_name>.exe
<random_name>.scr
<random_name>.bat
<random_name>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
fv13.failiem.lv (87.110.219.224:443 Латвия)
files.fm (104.25.80.116 США)
Email: yaga.babushka@yahoo.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 *
 Thanks: 
 Thyrex
 Michael Gillespie
 *
 *
 

вторник, 18 августа 2015 г.

CryptoApp

CryptoApp Ransomware

(шифровальщик-вымогатель)

Translation into English



   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 1 или 2 биткоина, чтобы вернуть файлы обратно. Название происходит от папки "CryptoApp" с файлами, создаваемыми самим вымогателем на рабочем столе жертвы и ключей реестра CryptoApp, создаваемых вымогателем в реестре Windows. К зашифрованным файлам добавляется расширение .encrypted

 Активность этого криптовымогателя пришлась на май-июнь и июль-август 2015 г., пока в августе того же года сайт вымогателя в сети Tor не был удален. Ориентирован на англоязычных пользователей.

Требованием выкупа расписаны в трех окнах:



Требования о выкупе


Скринлок, встающий обоями
HTML-записка о выкупе со ссылками на Tor-сайт

Содержание сообщений о выкупе:
В одном из сообщений с требованием выкупа, авторы шифровальщика поясняют, что:
- ПК не был защищен, т.к. пользователь не уделял должного внимания безопасности данных;
- пользовательские файлы были зашифрованы с помощью алгоритма RSA-2048;
- никто в мире не сможет расшифровать файлы без оригинального ключа;
- только после проведения оплаты все файлы будут восстановлены;
- любая попытка расшифровать файлы самостоятельно бесполезна;
- попытка форматировать диск и восстановить данные найдет только зашифрованные файлы;
- рекомендуется сразу удалить антивирус, т.к. его работа приведет к полной потере файлов.

Распространяется с помощью email-спама и вредоносных вложений.

Инфицировав целевое устройство, крипто-вымогатель ищет и шифрует пользовательские файлы на локальных и сетевых дисках, буквально перебирает все буквы алфавита: A: B: C: D: E: F: G: H: I: J: K: L: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z:

Для процесса шифрования вымогатель использует функцию Microsoft CryptoAPI. Для того, чтобы отслеживать файлы, которые он зашифровал, вымогатель хранит эту информацию в базе данных SQLite на диске.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .3gp, .7z, .accdb, .ai, .arc, .arw, .asp, .aspx, .avi, .bad, .bay, .bmp, .c, .cam, .cdr, .cer, .cineon, .cpp, .cr2, .crt, .crw, .css, .csv, .ctl, .dat, .db, .dbf, .dcr, .der, .des, .dicom, .dng, .doc, .docm, .docx, .dotm, .dotx, .dsc, .dwg, .dxf, .dxg, .eps, .erf, .fla, .flv, .fmb, .fmt, .fmx, .gif, .hdr, .html, .iif, .img, .indd, .jpe, .jpeg, .jpg, .js, .kdc, .log, .lst, .m4v, .mdb, .mdf, .mef, .mov, .mpeg, .mrw, .nd, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .openexr, .ora, .orf, .p12, .p7b, .p7c, .pbm, .pck, .pdd, .pdf, .pef, .pem, .perl, .pfx, .pgm, .php, .pic, .pkb, .pks, .pl, .plb, .pls, .png, .pot, .potm, .potx, .ppam, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prn, .psb, .psd, .pst, .ptx, .qba, .qbm, .qbr, .qbw, .qbx, .qby, .qfx, .r3d, .raf, .rar, .raw, .rdf, .rdo, .rep, .rex, .rtf, .rw2, .rwl, .sldm, .sldx, .sql, .srf, .srw, .sti, .swf, .sxi, .thmx, .tiff, .tlg, .tlg, .txt, .vdi, .wb2, .wpd, .wps, .xbm, .xlam, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xltm, .xml, .yaml, .zip (162 расширения). 

Из них ряд расширений относится к бухгалтерской программе QuickBooks (.qba, .qbm, .qbr, .qbw, .qbx, .qby, .qfx, .tlg). 

Примечательно, что декриптер от вымогателей при дешифровке меняет расширения зашифрованных файлов с .encrypted на .encrypted.decrypted

Файлы, связанные с Ransomware:
C:\Users\User_name\Desktop\csrss.exe - основной файл шифровальщика;
C:\Users\User_name\AppData\Local\Temp\keepalive.exe - файл прикрытия;
C:\Users\User_name\AppData\Local\Temp\wlp.jpg - файл обоев (красный).

Файлы из проекта вымогателя: 
C:\Users\User_name\Desktop\CryptoApp\build\bin\Release\CryptoApp.pdb
C:\Users\User_name\Desktop\CryptoApp\build\bin\Release\KeepAlive.pdb
C:\Users\User_name\Desktop\CryptoApp\build\bin\Release\SelfDestroy.pdb


Записи реестра, связанные с Ransomware:


Сетевые подключения:
guhvuoz7am24b5mv.onion
cryptorepairsystems.com (80.242.123.197)

Степень распространённости: низкая.
Подробные сведения собираются.

Ссылка на подробный исследовательский отчет >>
Ссылка на дополнение к этому отчету >>

суббота, 25 июля 2015 г.

Encryptor RaaS

Encryptor RaaS Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Encryptor RaaS
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Encryptor RaaS

К зашифрованным файлам никакое расширение не добавляется. Файлы сохраняют свои оригинальные расширения. 

Активность этого крипто-вымогателя пришлась на конец июля 2015 г. Ориентирован на англоязычных и немецкоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: cryptor_raas_readme_liesmich.txt


Содержание записки о выкупе:
ATTENTION!
The files on your computer have been securely encrypted by Encryptor RaaS.
To get access to your files again, follow the instructions at:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>
ACHTUNG!
Die Dateien auf Ihrem Computer wurden von Encryptor RaaS sicher verschluesselt.
Um den Zugriff auf Ihre Dateien wiederzuerlangen, folgen Sie der Anleitung auf:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>

Перевод записки на русский язык:
ВНИМАНИЕ!
Файлы на вашем компьютере надежно зашифрованы Encryptor RaaS.
Чтобы снова получить доступ к своим файлам, следуйте инструкциям на странице:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>
ВНИМАНИЕ!
Файлы на вашем компьютере были зашифрованы с помощью Encryptor RaaS.
Чтобы восстановить доступ к своим файлам, следуйте инструкциям:
xxxxs://decryptoraveidf7.onion.to/vict?cust=<cust_id>&guid=<affiliate_id>

Также информатором жертвы выступает сайт оплаты выкупа Encryptor RaaS Decryptor.

Через трое суток сумма выкупа будет удвоена. 



Технические детали

Этот RaaS или Ransomware-как-услуга позволяет аффилиатам генерировать  крипто-вымогатель и распространять по своему усмотрению. Партнерская система Ransomware размещается в сети TOR и позволяет посетителю создавать исполняемый файл Ransomware, просто вводя биткоин-адрес, на который они хотят получать выкуп, и денежную сумму, которую они хотят получить. Затем разработчик RaaS выполнит оставшуюся часть работы, собирая и проверяя платежи, выдавая расшифровщики, а затем отправляя партнёрские платежи партнерам. Себе разработчик RaaS оставляет 20% от собранных выкупов.

Эта аффилированная система похожа на ту, что использовалась в ToxCrypt Ransomware, за исключением того, что эта служба имеет несложную настройку и несуществующую партнерскую консоль. Фактически, партнер должен полагаться на свой собственный метод распространения, чтобы определить, сколько из них было установлено, и доверять разработчику RaaS в доставке платежей за собранные выкупы. 

Аффилиаты могут распространять крипто-вымогатель с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Сама программа Encryptor RaaS не удаляет теневые копии файлов или не удаляет зашифрованные файлы. Поэтому, если партнёр-аффилиат не включит этого в свой метод распространения, можно восстановить файлы с помощью программы Shadow Explorer или программ для восстановления файлов. 

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.abw, .accdb, .ai, .aif, .arc, .as, .asc, .asf, .ashdisc, .asm, .asp, .aspx, .asx, .aup, .avi, .bbb, .bdb, .bibtex, .bkf, .bmp, .bpn, .btd, .bz2, .c, .cdi, .cer, .cert, .cfm, .cgi, .cpio, .cpp, .crt, .csr, .cue, .c++, .dds, .dem, .dmg, .doc, .docm, .docx, .dsb, .dwg, .dxf, .eddx, .edoc, .eml, .emlx, .eps, .epub, .fdf, .ffu, .flv, .gam, .gcode, .gho, .gif, .gpx, .gz, .h, .hbk, .hdd, .hds, .hpp, .h++, .ics, .idml, .iff, .img, .indd, .ipd, .iso, .isz, .iwa, .j2k, .jp2, .jpf, .jpeg, .jpg, .jpm, .jpx, .jsp, .jspa, .jspx, .jst, .key, .keynote, .kml, .kmz, .lic, .lwp, .lzma, .m3u, .m4a, .m4v, .max, .mbox, .md2, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mds, .mid, .mov, .mp3, .mp4, .mpa, .mpb, .mpeg, .mpg, .mpj, .mpp, .msg, .mso, .nba, .nbf, .nbi, .nbu, .nbz, .nco, .nes, .note, .nrg, .nri, .ods, .odt, .ogg, .ova, .ovf, .oxps, .p2i, .p65, .p7, .pages, .pct, .pdf, .pem, .phtm, .phtml, .php, .php3, .php4, .php5, .phps, .phpx, .phpxx, .pl, .plist, .pmd, .pmx, .png, .ppdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psd, .pspimage, .pst, .pub, .pvm, .qcn, .qcow, .qcow2, .qt, .ra, .rar, .raw, .rm, .rtf, .s, .sbf, .set, .skb, .slf, .sme, .smm, .spb, .sql, .srt, .ssc, .ssi, .stg, .stl, .svg, .swf, .sxw, .syncdb, .tar, .tc, .tex, .tga, .thm, .tif, .tiff, .toast, .torrent, .tpl, .ts, .txt, .vbk, .vcard, .vcd, .vcf, .vdi, .vfs4, .vhd, .vhdx, .vmdk, .vob, .wbverify, .wav, .webm, .wmb, .wpb, .wps, .xdw, .xlr, .xls, .xlsx, .xz, .yuv, .zip, .zipx (229 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает при шифрование файлы wallet.dat, относящиеся к биткоин-кошелькам, которые могут понадобиться жертвам для оплаты выкупа. 

Файлы, связанные с этим Ransomware:
cryptor_raas_readme_liesmich.txt
encryptor_raas.exe
encryptor_raas_5fb1ce2e6417301971e617e8357d7291b33ebf96.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://decryptoraveidf7.onion.to/***
BTC: 12tdtfVGv3FL31BCd4v9toYH19ALhJ8un
18V5wVhitNnYaoV3iqAmNVigtYBJzRcztz
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
ANY.RUN анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Encryptor RaaS)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams, BleepingComputer
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 25 мая 2015 г.

Locker 2015

Locker Ransomware

(шифровальщик-вымогатель)

Translation into English


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы. На уплату выкупа давалось 72 часа, после чего сумма выкупа увеличивалась до 1 биткоина. Название оригинальное. На экранах блокировки отображались версии со случайными номерами: Locker 1.7, 1.91, 2.62, 2.89, 3.53, 5.52

© Генеалогия: не указана.

К зашифрованным файлам никакое расширение не добавлялось. Во всяком случае, источник его не указал. 

Активность этого крипто-вымогателя пришлась на конец мая 2015 г. (с 25 по 30 мая). Ориентирован был на англоязычных пользователей. 

30 мая 2015 г. разработчик Locker Ransomware выпустил дамп всех закрытых ключей дешифрования вместе с извинениями. 
I'm sorry about the encryption, your files are unlocked for free. Be good to the world and don't forget to smile.

Перевод на русский: 
Я сожалею о шифровании, ваши файлы будут разблокированы бесплатно. Будьте добры к миру и не забывайте улыбаться.

Он также написал 2 июня, что если у кого-то из пользователей ещё имеет место эта инфекция, то будет бесплатно выполняться автоматическая расшифровка зашифрованных файлов. 

Когда закрытые ключи дешифрования стали доступны, специалистами BleepingComputer был создан декриптор Locker Unlocker для бесплатной дешифровки файлов. 


Информация о шифровальщике

Записками с требованием выкупа выступал экран блокировки с заголовком Locker v1.7. 

Я соединил четыре скриншота с окнами в один с анимацией. 

Содержание текста о выкупе:
All your personal files on this computer are locked and encrypted by Locker v.1.7. The encrypting has been done by professional software and your files such as: photo's, video's and cryptocurrency wallets are not damaged but just not readable for now. You can find the complete list with all your encrypted files in the files tab.
The encrypted files can only be unlocked by a unique 2048-bit RSA private key that is safely stored on our server till 5/28/2015 12.01.41 AM. If the key is not obtained before that moment it will be destroyed and you will not be able to open your files ever again.
Obtaining your unique private key is easy and can be done by clicking on the payment tab and pay a small amount of 0.1 BTC to the wallet address that was created for you. If the payment is confirmed the decryption key will be send to your computer and the Locker software will automatically start the decrypting process. We have absolutely no interest in keeping your files encrypted forever.
You can still safely use your computer, no new files will be encrypted and no malware will be installed. When the files are encrypted Locker v1.7 will automatically uninstall itself.
Warning any attempt to remove damage or even investigate the Locker softw will lead to immediate destruction of your private key on our server!

Перевод текста на русский язык:
Все ваши личные файлы на этом компьютере заблокированы и зашифрованы Locker v.1.7. Шифрование было выполнено профессиональной программой, и ваши файлы, такие как: фото, видео и кошельки криптовалют, не повреждены, но пока не читаются. Полный список всех вашихзашифрованных файлов можно найти на вкладке "files".
Зашифрованные файлы можно разблокировать только с помощью уникального 2048-битного секретного ключа RSA, который будет храниться на нашем сервере до 28.05.2012 12.01.41. Если ключ не будет получен до этого момента, он будет уничтожен, и вы больше не сможете открывать свои файлы.
Получить ваш уникальный секретный ключ можно легко сделать, нажав на вкладку оплаты и заплатив небольшое количество 0,1 BTC на адрес кошелька, который был создан для вас. Если платеж подтвержден, ключ дешифрования будет отправлен на ваш компьютер, и программа Locker автоматически запустит процесс дешифрования. Мы абсолютно не заинтересованы в том, чтобы ваши файлы были зашифрованы навсегда.
Вы все равно можете безопасно использовать свой компьютер, никакие новые файлы не будут зашифрованы, а вредоносная программа не будет установлена. Когда файлы зашифрованы Locker v1.7 автоматически удаляет себя.
Предупреждение о любых попытках удалить повреждение или даже изучить программу Locker приведет к немедленному уничтожению вашего закрытого ключа на нашем сервере!


Технические детали

Устанавливался в качестве шифровальщика-вымогателя с помощью Trojan.Downloader, ранее загруженного и тайно установленного в качестве службы Windows в C:\Windows\SysWow64 со случайным именем файла, например, solaraddtogs.exe или twitslabiasends.exe. Известные случаи установки через взломанную версию Minecraft - файл MinecraftChecksumValidator.exe. 

Распространяться мог с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Примечательно, что при поиске файлов для шифрования Locker искал только расширения, написанные в нижнем регистре и использовал регистрозависимое сравнение строк, таким образом файлы с расширением .jpg шифровались, а файлы с .JPG - не шифровались. 

➤ Locker Ransomware завершал работу следующих запущенных процессов:
wireshark, fiddler, netmon, procexp, processhacker, anvir, cain, nwinvestigatorpe, uninstalltool, regshot, installwatch, inctrl5, installspy, systracer, whatchanged, trackwinstall

➤ Locker сканировал все буквы дисков на компьютере, включая съемные диски, сетевые ресурсы и подключенные хранилища Dropbox. 

➤ Locker искал и удалял теневые копии файлов на диске C: командой:
vssadmin.exe delete shadows /for=C: /all /quiet

➤ Locker проверял присутствие на ПК виртуальных машин VirtualBox или Vmware и завершал свою работу, если их обнаруживал. 

➤ Locker также искал среди работающих следующие процессы, и если они были найдены, завершал процесс своей установки:
anvir, cain, fiddler, inctrl5, installspy, installwatch, netmon, nwinvestigatorpe, processhacker, procexp, regshot, systracer, trackwinstall, uninstalltool, whatchanged, wireshark 

➤ После завершения шифрования файлов Locker самоудалялся. 

Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx (67 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы и папки, связанные с этим Ransomware:
C:\ProgramData\Steg\
C:\ProgramData\Steg\steg.exe
C:\ProgramData\rkcl
C:\ProgramData\rkcl\ldr.exe
C:\ProgramData\rkcl\rkcl.exe 
C:\ProgramData\-
C:\ProgramData\Tor\ 
C:\ProgramData\Digger
C:\Windows\SysWow64\<random>.exe
C:\Windows\SysWow64\<random>.bin 
C:\Windows\SysWow64\<random>.dll
C:\Windows\System32\<random>.bin

В папке rkcl находятся файлы:
data.aa0 - содержит список зашифрованных файлов;
data.aa1 - назначение неизвестно;
data.aa6 - уникальный Bitcoin-адрес жертвы;
data.aa7 - ключ RSA, но не ключ дешифрования;
data.aa8 - содержит номер версии Locker;
data.aa9 - дата запуска вымогателя на ПК;
data.aa11 - назначение неизвестно;
data.aa12 - назначение неизвестно;
priv.key - содержит закрытый ключ дешифрования, который можно использовать для дешифровки файлов; появляется только после уплаты выкупа.

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Kaspersky Application Advisor >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 26 мая 2015:
Версия: 3.53
BTC: 13Zpt3oedE2vFEbno2dYd9KHaPQpD8ZFKs
Пост на форуме >>


Обновление от 26 мая 2015:
Версия: 5.52
Пост на форуме >>





=== Дешифровщик ===

Скриншот дешифровщика от Натана Скотта, скомпилированный из ресурсов Маклом Джиллеспи. 
Ссылка на пост на форуме >>
Прямая ссылка на дешифровщик и ресурс находится ниже в блоке с зелёным замком. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик
Locker Unlocker от Nathan Scott
Ссылка на ресурс >>
Ссылка на созданный дешифровщик >>
*
 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (n/a)
 Write-up, Topic of Support
 Thanks: 
 Lawrence Abrams, BleepingComputer
 Nathan Scott, Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *