Если вы не видите здесь изображений, то используйте VPN.

четверг, 3 марта 2016 г.

Terms of Use

Условия использования информации (Terms of Use)


Блоги "Шифровальщики-вымогатели" (ШВ), "Дешифровщики файлов" (ДФ), "Проект Anti-Ransomware" (AR) — это свободные проекты, независимые от антивирусных компаний. 

На сайтах есть функции "Горячее уведомление" и "Быстрое реагирование на инциденты". Поэтому большинство статей являются самым первым источником информации в сети Интернет на русском и английском (с помощью Google Translate) языках. Для этого в подзаголовках статей находится слово (первоисточник). Подписчики получают уведомления о новых статьях ежедневно, если Google периодически это не отключает. 

Информация на этих блог-сайтах защищена авторским правом. 
При любом использовании информации и цитировании ссылка на сайты и автора обязательна. 

Информация об авторских правах:
© Шифровальщики-вымогатели, автор и администратор: Amigo-A (Андрей Иванов / Andrew Ivanov), 2016
© Дешифровщики файлов, автор и администратор: Amigo-A (Андрей Иванов / Andrew Ivanov), 2016
© Проект Anti-Ransomware, автор и администратор: Amigo-A (Андрей Иванов / Andrew Ivanov), 2016
© Авторское право на все статьи в блогах. При любом использовании и цитировании ссылка на блог и автора обязательна.  
© Amigo-A (Andrew Ivanov): All blog articles. At any use and quoting reference to the blog and the author is obligatory.

Информацию сайтов-блогов ШВ, ДФ, AR допускается использовать следующими способами: 
– читать и распространять информацию о блоге, как источнике полезной информации;
– находить, изучать и присылать мне новую информацию для обобщения и публикации;
– общаться с другими людьми, включая форму для ответов и комментариев, ЛС и email;
– приобретать опыт и делиться своими знаниями и навыками с автором и собеседниками.

Я учитываю все пожелания, комментарии, чтобы сделать блоги лучше, полезнее и информативнее. 
Это способствует общению, позволяет легко и быстро делиться информацией с другими участниками. 
В конце каждой статьи есть ссылки на источники, статьи, результаты анализов и прочее. Сверяйтесь. 

При любой републикации материалов из вышеназванных блогов следует использовать правило: 
а) активная ссылка на блог + название блога, автор блога; 
б) или активная ссылка на блог + название блога; 
в) или активная ссылка на блог + автор блога. 

Ссылки на мои блоги, полученные при их регистрации: 

1. Блог "Шифровальщики-вымогатели"
https://id-ransomware.blogspot.com
http://id-ransomware.blogspot.com
https://id-ransomware.blogspot.ru
http://id-ransomware.blogspot.ru
Баннер 468x60:


2. Блог "Дешифровщики файлов"
https://decryptors.blogspot.com
http://decryptors.blogspot.com
https://decryptors.blogspot.ru
http://decryptors.blogspot.ru
Баннер 468x60:


3. Проект "Anti-Ransomware"
https://anti-ransomware.blogspot.com
http://anti-ransomware.blogspot.com
https://anti-ransomware.blogspot.ru
http://anti-ransomware.blogspot.ru
Баннер 468x60:



Соглашение 
по использованию информации блогов
 "Шифровальщики-вымогатели", Дешифровщики файлов", 
"Проект Anti-Ransomware"

Незнание и игнорирование этого соглашения не снимает ответственности!

Разрешается свободно ссылаться на блог, его автора и информацию, находящуюся на страницах блога, при соблюдении следующих положений и условий. 

Любой веб-сайт (форум, блог, ЖЖ и пр.), ссылающийся на блог-сайт ("Шифровальщики-вымогатели", "Дешифровщики файлов", "Проект Anti-Ransomware"):
– соглашается соблюдать все пункты данного соглашения по использованию, описанные ниже и волен выбрать любой из блогов;
– может свободно изучать все материалы блогов, в том числе архивные; 
– может свободно ссылаться на материалы блога, но не копировать их в полном объеме (разрешено не больше 30% текста), не искажать содержание и суть;
– не должен сообщать вводящую в заблуждение или ложную информацию о блоге, его авторе, читателях и подписчиках;
– не должен искажать взаимосвязь блога-сайта и деловых партнёров автора-администратора, в том числе в прошлом;
– не должен провоцировать своих пользователей на конфликт с автором блога, его читателями и подписчиками;
– не должен использовать материалы блога, чтобы негативно влиять на отношение своих пользователей к блогу, автору, его партнёрам, помощникам, читателям;
– не должен публиковать у себя на сайте (форуме, блоге, ЖЖ и пр.) материалы из блога рядом с темами непристойного содержания;
– не должен использовать логотипы, элементы содержания или оформления блога без письменного разрешения автора;
– должен быть согласен по первому требованию автора блога внести соответствующую корректировку в публикацию.

Любой веб-сайт, соблюдающий все пункты данного соглашения по использованию и разместивший на своем сайте один из наших баннеров со ссылкой на сайт:
– может заочно считать себя реферальным партнёром блогов "Шифровальщики-вымогатели" или "Дешифровщики файлов", или "Проект Anti-Ransomware";
– может вступить в деловые (партнёрские) отношения с автором для преимуществ публикации. 

Любой веб-сайт, частное лицо, не соблюдающие все пункты данного соглашения:
– не имеет права любыми способами и в любом виде пользоваться материалами или любым другим содержимым вышеназванных блогов;
– не должен из-за этого распространять в Интернет и частной беседе заведомо искажённую и ложную информацию о блоге, его авторе, читателях, подписчиках, участниках беседы в комментариях. 

Дата последнего изменения: 30 октября 2019 г.

Список сайтов очно-заочных партнёров и рефералов блога "Шифровальщики-вымогатели":
https://www.bleepingcomputer.com/ 
https://support.emsisoft.com/
http://club-symantec.ru/
http://dfir.pro/
http://safezone.cc/ 
http://decryptors.blogspot.com/ 
http://anti-ransomware.blogspot.com/
...
Прочитали и согласны с Соглашением? Добавляйтесь!
Используйте мои контакты для связи. 
Список сайтов-нарушителей авторского права блога и его автора:
...Я знаю несколько таких иностранных сайтов, регулярно использующих информацию, без ссылки на блог и автора, но пока не публикую их адреса... 

© Amigo-A (Andrew Ivanov): All blog articles.
© Авторское право на все статьи. При любом использовании и цитировании ссылка на блог и автора обязательна.  

Cerber

Cerber Ramsomware

(шифровальщик-вымогатель, говорящий вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1.24 BTC, чтобы вернуть файлы обратно с помощью ключа дешифрования. Через неделю сумма выкупа удваивается до 2,48 BTC. 

© Генеалогия: Cerber > Cerber 2

К зашифрованным файлам добавляется расширение .cerber

Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. 

  Cerber использует конфигурационный файл config.json, в котором прописано какие расширения шифровать, компьютеры каких стран не должны быть зашифрованы, какие файлы и папки не нужно шифровать, и другие сведения о конфигурации. Пока считается, что Cerber не заражает пользователей из России и стран СНГ (Армения, Азербайджан, Беларусь, Грузия, Кыргызстан, Казахстан, Молдова, Россия, Туркменистан, Таджикистан, Узбекистан, Украина). 

  Записки с требованием выкупа называются 
#DECRYPT MY FILES#.txt 
#DECRYPT MY FILES#.html 
#DECRYPT MY FILES#.vbs 

Файл VBS содержит звуковое сообщение с информацией, указанной в текстовых записках о выкупе. Для воспроизведения используется речевой синтезаторВ нижней части каждой записке о выкупе содержится латинское изречение: "Quod me non necat me fortiorem facit" (Что меня не убьёт, сделает сильнее). 


Варианты церберовских записок о выкупе

Так выглядят зашифрованные файлы

  Текста в этих записках о выкупе довольно много, пока пожертвуем этой информацией, ограничившись скриншотами. Для оплаты выкупа и дешифровки файлов предлагается перейти на сайт, расположенный в сети TOR по адресу decrypttozxybarc.onion 

  Интерфейс сайта доступен на 12 языках. Подробное пояснение по процессу оплаты смотрите по ссылке



  Перед началом шифрования файлов, Cerber требует перезагрузить ПК, отображая фальшивые ошибки (см. иллюстрации ниже). 


Компьютер принудительно загружается в безопасном режиме с поддержкой сетевых драйверов (Safe Mode with Networking), а потом еще раз перегружается, входя в нормальный режим. После этого шифровальщик начинает шифрование файлов. 

Список файловых расширений, подвергающихся шифрованию:
 .1cd, .3dm, .3ds, .3g2, .3gp, .3fr, .3pr, .7z, .7zip, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_journal, .db3, .dbf, dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxg, .dxf, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .indd, .iiq, .incpas, .java, .jpe, .jpeg, .jpg, .jnt, .js, .kc2, .kdbx, .kdc, .key, .kwm, .kpdx, .laccdb, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .moneywell,  .mos, .mov, .mp3, .mp4, .mpg, .mpeg, .mrw, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .odb, .odf, .odg, .obj, .odc, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plus_muhd, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .say,  .sav, .save, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .txt, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xlk, .xla, .xlam, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (377 расширений). 

При поиске целевых файлов для шифрования Cerber пропускает файлы bootsect.bak, IconCache.db, thumbs.db, wallet.dat или те, чьё полное название пути размещения включают в себя следующие строки:
:\$recycle.bin\
:\$windows.~bt\
:\boot\
:\drivers\
:\program files\
:\program files (x86)\
:\programdata\
:\users\all users\
:\windows\
\appdata\local\
\appdata\locallow\
\appdata\roaming\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\

  Распространяется Cerber через email-спам с вложенным документом Word, замаскированным под инвойс. При открытии этого файла предлагается включить макросы для правильного отображения содержимого. 

  Если пользователь согласится, то будет создан процесс cmd.exe, а затем вызван PowerShell для загрузки и запуска вредоносного скрипта. Использование PowerShell в данном случае помогает обойтись без записи файлов на диск и позволяет вредоносному файлу получить легитимную активность в системе ПК.

Файлы, связанные с Cerber Ransomware:
HKCU\Control Panel\Desktop\SCRNSAVE.EXE     "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Command Processor\AutoRun     "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\[random] "%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"

Записи реестра, связанные с Cerber:
"%AppData%\{2ED2A2FE-872C-D4A0-17AC-E301404F1CBA}\[random].exe"

Распространение Cerber: диаграмма от CheckPoint. 

Образец с более ранней датой (17-10-2014) : VT + AR


Дополнения

  Этот криптомвымогатель один из самых продвинутых, причем, постоянно совершенствуется. С одним из новейших анализов этого вредоноса можно ознакомиться самостоятельно по этой ссылке. Скажем только, что на данный момент Cerber использует технику malware factory (фабрика вредоносов). Чтобы избежать обнаружения антивирусами на клиентской стороне, C&C-сервер генерирует бинарники с новым хешем раз в 15 секунд, т.е. каждые 15 секунд Cerber создает новую версию себя с незначительными изменениями в коде. 

  Ранее считалось, что Cerber был создан в феврале-марте 2016 года, но после тщательного изучения пейлоадов вредоноса было обнаружено сходство с подозрительным файлом, которые впервые был замечен в составе набора эксплойтов Neutrino в сентябре 2015 года. 

  С мая 2016 злоумышленники изменили тактику заражения систем через документы. Вместо вредоносных макросов стали использоваться встроенные OLE-объекты. От пользователя требуется только разрешить использование объекта или контента внутри документа Office. После этого разрешения в систему установится Cerber Ransomware.

 


Схема доставки криптовымогателя Cerber на ПК жертв

Степень распространённости: очень высокая и перспективно высокая
Подробные сведения собираются.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as Cerber)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. 

Об этом сайте

О сайте "Шифровальщики-вымогатели" и Дайджесте ID-Ransomware.RU

About the site "Crypto-Ransomware" and the Digest ID-Ransomware.RU


   В данном сайте © "Шифровальщики-вымогатели" и Дайджесте © ID-Ransomware.RU публикуется информация о вредоносных программах, называемых по-разному: шифровальщики, вирусы-шифровальщики, шифровальщики-вымогатели, шифраторы, крипто-вымогатели, крипто-локеры, энкодеры, шифровирусы, Ransomware, Crypto-Ransomware. Всё это по сути одно и тоже. 

Многие статьи сайта — это первоисточники (самые первые публикации в Интернет)!!! /// Многие, но не все. 

In English. In this site © Digest "Crypto-Ransomware" and © ID-Ransomware.RU information is published about malicious programs, known in various names: encryptors, crypto-viruses, crypto-ransomware, encryptors-ransomware, crypto-lockers, encoders... All this is the same, as do not call it. Sorry, but most of the information is in Russian. You can translate my text with Google-translator online or get the required article in English from me.

© ID-Ransomware.RU (id-ransomware.blogspot.com) 
Advanced Crypto-Ransomware identification with description in Russian and English.

   Если вы не нашли здесь информацию о шифровальщике, который зашифровал или заблокировал ваши файлы, то как можно скорее сообщите мне следующее:
- Ваши данные для связи: email, ник или имя.
- Названия файлов, записки, экранов блокировки.
- Сумма выкупа, сама записка, текст, скриншоты.
- Список или скриншот пострадавших типов файлов.
- Расширение у файлов, наличие переименования.
- Результаты анализов (ссылки), 
если отправляли файлы на сайты hybrid-analysis.com и virustotal.com

Если вы нашли нужную информацию или узнали что-то новое, то поделитесь этой информацией с другими, при условии публикации ссылки на статью этого сайта. Не забывайте, многие статьи блога — это первоисточники. 

In English. If you did not find here information about the ransomware that encrypted or blocked your files, then get me the following information:
- Your email, nick or name, your links on the forum.
- Names of files, ransom notes, lock screens.
- The ransom amount, the note itself, text, screenshots.
- List or screenshot of affected file types.
- File extension, renaming.
- Analysis results (links) if you sent files to hybrid-analysis.com and virustotal.com

If you found the information you need or learned something new, then share this information with others, provided that you share a link to an article or this site. Remember, many of the blog articles are primary sources.


Логотип сайта

Описание логотипа. Большинство шифровальщиков попадают на ПК с помощью вложений в email-сообщения - чёрный конверт. Письма и вложения злоумышленниками маскируются под нужные, которые надо открыть - зелёная половина буквы R. Шифровальщики относятся к категории вредоносов под общим названием Ransomware - красная половина буквы R и красная надпись. Белый ID - идентификация. 

ID-Ransomware.RU "Шифровальщики-вымогатели"

Логотип сайта / Logo of site 


От автора 

  Все статьи этого сайта пишутся человеком
, автором этого сайта, без использования программ-ботов и автоматизированных систем заполнения. Все переводы статей и текстовых сообщений выполняются также автором сайта, если не указано иначе. Информация добавляется ежедневно. Основной язык сайта — русский. По данным исследования W3Techs в марте 2013 русский язык вышел на 2 место по использованию в Интернете. Некоторые моменты (список, новости, элементы идентификации и шаблоны) освещаются и на английском языке. 


   Блог "Шифровальщики-вымогатели" — это одновременно и дайджест ID-Ransomware.RU, т.е. краткий информационный справочник и ежедневная лента угроз (сборник общедоступных публикаций). Зачастую статьи на сайте — это самые первые публикации об этих Ransomware в Рунете и в мире. В иных случаях — это сборная статья из внешних публикаций или информационный справочник с указанием источников и ссылок на связанные публикации. Данные собираются по результатам разведки из открытых источников (OSINT) и доступных ресурсов Даркнета. 
   Можно писать большие статьи-эпопеи, но тогда читатель не ухватит нужную информацию, а онлайн-переводчик запутается в словах. Я полгода подбирал формат и по-разному выстраивал разделы статей, пока не получилось так, как сейчас. Со стороны может казаться, что это легко, на самом же деле — это не так просто. В результаты работы с материалом пришлось расширить диапазон по годам от 2010 по сегодняшний день. Изначально публиковались статьи только 2016 года. Справа есть Хронология Ransomware, в которой можно видеть, сколько там статей. В мае 2017 года был максимум. 

   Цель блога — информировать пользователей о разном виде вирусных угроз для компьютеров и мобильных устройств. Сегодня одними из самых опасных вредоносных программ являются шифровальщики-вымогатели, которые мы называем также крипто-вымогателями или Crypto-Ransomware.

   Приглашаю к сотрудничеству исследователей вредоносного ПО, авторов статей по теме информационной безопасности, защите информации. Присылайте мне ссылки на статьи, видеообзоры, результаты исследований, анализов на VT, Malwr и HA. Они будут обработаны и опубликованы со ссылкой на полезную статью и благодарностью. 

   Подписывайтесь! На каждой странице, ниже статьи, есть кнопка "Подписаться". Чтобы быть в курсе последних новостей и вирусных угроз, подписывайтесь. Видимо надо будет ещё разрешить уведомления. Новая информация или обновления ранее опубликованной появляются здесь ежедневно. 


Ещё о сайте

  Хочу сказать несколько слов про этот сайт, который часто называют моим блогом, забывая, что это еще и Дайджест. Он использует платформу блога, но это не персональный блог по сути. На видном месте сайта нет меня, нет страницы обо мне, нет фото, нет PR, нет платных услуг. В блоге всё это обычно есть на видном месте. Здесь есть только статьи и описания, которые публикуются для информирования пострадавших, которые в интернет-поиске могут найти много веб-спама или найти достоверную информацию для того, чтобы узнать, от какой программы они пострадали, как связаться со мной и получить больше того, что опубликовано, и в некоторых случаях получить дешифровщик, не платя вымогателям за него. Если пострадавшие купили ключ у вымогателей, но за дешифровщик у них потребовали еще денег, то мы дадим им дешифровщик или перенаправим туда, где он находится. Мы регулярно согласуем информацию с другими исследователями и помогаем на разных форумах, которые связывают множество людей на просторах Интернет. 

Как я уже сказал, с самого начала статьи публикуются в виде Дайджеста. Если вы не знаете, что это, я поясню. Этот сборник статей и информации, которую представили другие исследователи и другие авторы. Когда было мало вымогателей, было много качественных исследований и статей. Я выбирал, что использовать для краткого описания, какие ссылки на статьи и на авторов добавлять. Сейчас таких статей мало или они появляются очень поздно, спустя месяцы или годы. Для них у меня есть раздел после статьи. Там добавляются ссылки и новые варианты, в том числе те, которые могут оказаться новыми вариантами или быть только похожи на предыдущие. Там же могут быть ссылки на публичный дешифровщик, или на человека, который может помочь. 

Исследователей, которые не пишут статьи в Дайджест много, а нас мало (маленькая группа доверенных лиц). Поэтому в идеале исследователи должны сами предоставлять нам информацию, тексты, скриншоты, ссылки и все, что может быть важно или то, что может заинтересовать нас. Я это опубликую как новое или добавлю в готовую статью. И скажу "Большое спасибо" авторам, даже если они только дали ссылку или записку. В последние несколько лет мы очень часто добавляем множество новых вариантов и что-то исправляем в старых статьях. И на это надо много времени... 

Я принимаю только чистую и правдивую информацию. Скриншоты со стертыми или замазанными данными не считаются достоверной информацией, это умышленно измененная информация или даже фальшивка. Я могу опубликовать такое "малярное творчество" только с указанием того, что скриншот в таком виде предоставлен исследователем и он все сам замазал. И сделаю это только тогда, когда не получу оригинальный вариант записки или скриншота. Как автор, я выбираю то, что могу опубликовать и скрываю то, что не могу опубликовать на момент написания статьи, опубликую после проверки или никогда не опубликую...

Если у вас есть какой-то другой вариант опубликованного шифровальщика-вымогателя, или другой вымогатель с таким же расширением, то сделайте скриншоты кода и других доказательств, и пришлите нам. Мы добавим вашу информацию, чтобы сравнить и сопоставить с другими вариантами. Мы также сделаем новое описание, если это совершенно другой вымогатель, сделанный совершенно другой группой вымогателей, которые никак не связаны с предыдущими или связаны небольшой нитью. 

Если это вымогатель-подражатель, то он может быть записан под тем же названием в статью, опубликованную ранее. Если правоохранители будут умнее и расторопнее, то он когда-нибудь будет арестован вместо тех, кому он подражает и получит наибольший срок, чем мог бы получить только за свой поступок. Он сам выбирал, кому подражать, потому ему придется отвечать за обоих. 

Разработчики и распространители программ-вымогателей! Никогда не подражайте другим вымогателям и не используйте их адреса, ники и прочие контакты, чтобы казаться круче!!! 


Реклама на сайте

   Недавно я включил в блоге отображение рекламы от Google AdSense. Как было обещано поставщиком рекламы, "AdSense показывает только качественную рекламу", без обмана и без взрослой тематики, которую я отключил в настройках. Увы, сейчас у многих стоят блокировщики рекламы и, судя по статистике, мало кто видит рекламу в этом блоге (несколько тысяч просмотров блога в день, но всего несколько центов на дневном балансе). Если бы каждый читатель увидел по одному блоку рекламы в день, то я бы уже мог оплатить хостинг за год. А пока реклама крутится вхолостую и доход от неё всё никак не поступит. Я могу отключить эту рекламу в любой момент. 

Другие мои сайты: 
Проект Anti-Ransomware
Дешифровщики файлов


Читайте и будьте в безопасности!!!

PS. Если вам требуется помощь в дешифровке или восстановлении файлов из бэкапа, установке антивирусной защиты, напишите комментарий здесь или под статьёй о шифровальщике. 
Email автора в коде: aWQtcmFuc29td2FyZUB5YW5kZXgucnU= - декодь код на base64decode.net


© Amigo-A (Andrew Ivanov): All site articles. With any use of articles and quoting, you must in obligatory make a direct link to the site article and name the author.
© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи сайта. При любом использовании и цитировании ссылка на сайт и/или автора обязательна. 

Предостережение! 


   При поиске в Google, Яндекс и прочих поисковиках вы можете найти множество фальшивых сайтов с информацией, сгенерированной программами-ботами и автоматизированными системами заполнения. Они воруют с других сайтов, в том числе отсюда, готовый материал, подставляют новые названия вредоносного ПО в свои шаблоны и предлагают "полечить", "исправить", "удалить". 


Остерегайтесь что-то оттуда скачивать!!! 


Там могут предлагаться некие утилиты для удаления вредоносов с названиями: SpyHunter, VirusHunter, Removal Tool, Removal Tip, SuperAnti-Malware, SuperAnti-Spyware, Anti-Malware Tool, Reimage Repair, RemoveVirus, Spyware Detection Tool, Automatic Detection Tool... и другие. Каждый день их появляется всё больше, они заполонили все результаты поисков, причем на любом языке: английском, китайском, испанском, русском, японском... 

Это результат работы ловких дельцов, развязавших в Интернете странный рекламный маркетинг, делают деньги на чужих проблемах, "стригут капусту" за показы этих сайтов и загрузку вышеназванных программ. За редким исключением, полезной информации или реальных инструментов для удаления вирусов там нет. Удаляют только известные файлы вредоносов и их записи в реестре. Рекомендации там общие на все случаи жизни, потому каждому не помогут. С их помощью можно удалить несложные блокировщики экрана, а зашифрованные или заблокированные иным способом файлы эта мера не вернёт. Некоторые из программ с этих сайтов разработаны легитимными компаниями, а файлы подписаны ЭЦП, потому пропускаются антивирусами. 

Если вы открыли эти сайты, то покидайте их как можно скорее, ничего не скачивая. Их легко распознать. Текст на русском языке будет отличаться нелепой лексикой, повторением и предложением что-то скачать. Текст на английском многократно дублируется на множестве однотипных сайтов, на других языках то же самое. Не факт, что содержимое этих сайтов может быть скопировано и использовано настоящими злоумышленниками. 


Будьте бдительны!!!
Не забывайте об Актуальной защите ПК!!!


Профилактика угрозы

Профилактика угрозы и защита бизнеса

(перевод с английского, первоисточник на русском языке)


Защитите себя и свою организацию!


  Я очень надеюсь, что этот сайт, статьи, руководства, инструкции и вся справочная информация, которую вы здесь найдёте, спасёт множество организаций, семей и лиц от неприятностей, связанных с угрозой вымогательства и уплатой выкупа, и научит их защищаться. 

  Не откладывайте всё на потом, начните с себя прямо сейчас! 

...Лечебные учреждения, учебные заведения, государственные и местные органы власти, транспортные компании, правоохранительные органы, предприятия малого и среднего бизнеса, крупные предприятия — это лишь некоторые из субъектов, пострадавших от крипто-вымогателей — коварных вредоносных программ, которые шифруют или блокируют ценные цифровые файлы и требуют немалый выкуп за их частичное или полное возвращение.

  Невозможность получить доступ к важной информации для организаций может иметь катастрофические последствия, например, если говорить об утрате конфиденциальной или служебной информации, о нарушении непрерывного производственного процесса, финансовых потерях, понесённых при восстановлении системы и файлов, и о пострадавшей репутации организации.

  Домашние компьютеры, разумеется, также восприимчивы к атаке крипто-вымогателей, т.к. потеря доступа к личным и бесценным цифровым данным, в том числе семейным фотографиям, видео, документам и другим данным, может стать невосполнимой для физических лиц, привести к личной драме, стать причиной семейных скандалом, разлуке с близкими и пр. пр. пр. 

  Угроза программ-вымогателей существует уже нескольких лет, но в 2015 году антивирусными компаниями и правоохранительными органами был отмечен рост кибер-атак этого вида, особенно в отношении организаций, т.к. там и цены выкупа выше, и выплаты чаще. Первые три месяца 2016 года указывают на то, что число вымогательских инцидентов и последующий ущерб, который они вызывают, будут продолжать расти в текущем и будущем годах, если отдельные лица и организации не подготовятся к этим нападениям заранее.

  Пример атаки вымогателя: жертва, получив email-письмо, адресованное ей, открывает его и бездумно кликает вложение, которое кажется неопасным, например, присланное фото, счет-фактура, решение суда или электронный факс, но на самом деле содержит вредоносный код вымогателя. Или пришедшее электронное письмо может содержать легитимного вида URL-адрес, но когда жертва бездумно кликает на него, то мигом перенаправляется на веб-сайт, который заражает компьютер вредоносным кодом, эксплуатируя уязвимости в программном обеспечении и защите.

  Инфицировав компьютер, вредоносная программа начинает шифрование файлов и папок на локальных дисках, подключенных внешних дисках, дисках резервного копирования, а также на других компьютерах в той же сети, присоединенных к ПК жертвы. Пользователи и организации, как правило, не знают, что они инфицированы, пока не поймут, что не могут получить доступ к своим данным или пока не увидят вымогательских сообщений, в которых сообщается о том, что файлы были зашифрованы (заблокированы, скрыты) и описываются требования на уплату выкупа в обмен на ключ дешифрования. В них также есть инструкции о том, как заплатить выкуп, как правило, в Bitcoin — виртуальной криптовалюте, предоставляющей анонимный обмен и выплаты.

  Атаки вымогателей от банально известных, становятся все более изощренными. Несколько лет назад, программы-вымогатели обычно доставлялись только через email-спам, но потом системы email-защиты стали лучше фильтровать спам, и кибер-преступники обратились к email-фишингу, ставшему не только целенаправленным, но индивидуально подстраиваемым. Так кроме банального фишинга, используется таргет-фишинг, копьё-фишинг, уэйлинг... Ежедневно появляются новые виды. 

  Новые инциденты показывают, что некоторые кибер-преступники вообще не используют электронную почту. Помощник директора киберподразделения ФБР Джеймс Трейнор сообщает: "Методы киберпреступников совершенствовались и теперь им не нужно принуждать человека нажимать на ссылку в письме. Они делают это путем инфицирования легитимных сайтов вредоносным кодом, воспользовавшись неисправленными уязвимостями в программном обеспечении ПК конечных пользователей".

  Важно помнить, что все варианты вымогателей представляют угрозу для индивидуальных пользователей, организаций и предприятий. Немало вариантов ориентированы на атаку уязвимых серверов, чтобы одновременно причинить вред данным на сервере, веб-хостинге, всем расположенным на них веб-сайтам и подключенным пользователям. Большой объём данным и длительное время восстановления порой вызывает у вымогателей искушение — после уплаты выкупа, не выдавать все ключи дешифрования, не предоставлять доступ ко всем файлам, а потребовать ещё больше денег, двойную или тройную оплату. 


Платить или не платить? 


  ФБР сегодня категорически против уплаты выкупа вымогателям. Трейнор продолжает: "Уплата выкупа не гарантирует организациям возвращение доступа к утраченным данным. Нам известны случаи, когда организации не получали ключ дешифрования даже после того, как платили выкуп. Каждый оплаченный выкуп стимулирует кибер-преступников к будущим атакам на организаций, является примером легкой наживы для других преступников, толкая их к незаконной деятельности. И, наконец, заплатив выкуп, организация непреднамеренно финансирует другую незаконную деятельность киберпреступников".

  Так что же ФБР рекомендует? По мере развития методов вымогателей продолжают развиваться и вредоносные программы, и становится всё труднее обнаруживать вымогателей. Пока не стало слишком поздно, организациям, в частности, следует сосредоточить внимание на двух основных направлениях:
- проводить профилактику, обучать и информировать персонал о вымогателях и надежных технических средствах контроля;
- разработать и утвердить план обеспечения непрерывности процесса работы организации в случае атаки вымогателей (см. далее "Советы..." для дополнительной информации).

— Нет ни одного метода или инструмента, который бы гарантированно защитил вас или вашу организацию от атаки вымогателей, — сказал Трейнор. — Но готовность к непредвиденным обстоятельствам и планирование реабилитации имеют решающее значение для восстановления бизнеса и его непрерывности, поэтому указанные мероприятия должны проводиться на регулярной основе. — В то же время, по словам Трейнора, ФБР будет продолжать работать со своими местными, федеральными, международными и частными партнёрами в целях усиления борьбы с вымогателями и другими угрозами.


Советы ФБР по борьбе с вымогателями


  ФБР рекомендует предприятиям, организациям и пользователям рассмотреть возможность осуществления следующих мер профилактики угрозы, защиты бизнеса и обеспечения его непрерывности, чтобы уменьшить риск успешной атаки вымогателей.  Хотя данные советы предназначены в первую очередь для предприятий, организаций и их сотрудников, некоторые из них подойдут и персональным пользователям.

Меры профилактики угрозы

- Убедитесь, что все сотрудники информированы о вымогателях и понимают всю важность защиты данных организации.
- Убедитесь, что ОС, ПО и прошивки на всех компьютерах и устройствах обновляются с помощью централизованной системы управления исправлениями.
- Убедитесь, что решения по обеспечению защиты от вирусов и вредоносных программ установлены и актуальны на всех компьютерах.
- Убедитесь, что на всех компьютерах учётные записи администратора используются только при крайней необходимости.
- Убедитесь, что на всех компьютерах настроен контроль доступа, в том числе к файлам, каталогам и общим сетевым папкам. 
- Убедитесь, что пользователи, которым нужно только читать конкретную информацию, не имеют прав на внесение изменений в этих файлах.
- Убедитесь, что на всех компьютерах отключены макросы и уведомления об их включении в офисных файлах, передаваемых и получаемых по email.
- Убедитесь, что на всех компьютерах внедрены политики ограниченного использования программ или других элементов управления для предотвращения выполнения программ-вымогателей из общих мест. Это касается временных папок, с которыми работают популярные интернет-браузеры и архиваторы.

Обеспечение защиты бизнеса

- Делайте регулярное резервное копирование данных и регулярную проверку целостности этих резервных копий.
- Защитите резервные копии и убедитесь, что они не подключены к компьютерам и сетям хранения баз данных.
- Критически относитесь к ссылкам в email-сообщениях и не открывайте вложения от неизвестных отправителей.
- Загружайте программное обеспечение, особенно бесплатное (Free), только с официальных и доверенных сайтов. 
- Проверяйте до запуска, если возможно, целостность программного обеспечения с помощью цифровой подписи.
- Обновляйте операционную систему, свои программы, прошивки, включая Adobe Flash, Java, веб-браузеры и пр.
- Настройте антивирусные и другие защитные программы на автоматическое обновление и регулярные проверки ПК.
- Отключите макросы для получаемых по email файлов. Используйте Office Viewer для открытия файлов MS Office.
- Создайте ограничения на выполнение программ и элементов управления, активнее внедряйте проактивную защиту. 

Сообщения об атаках вымогателей

  ФБР призывает пострадавших сообщать обо всех инцидентах, связанными с вымогателями, федеральным правоохранительным органам, независимо от результата атаки, чтобы составить более полное представление о текущей угрозе и её воздействии на пострадавших.

Для этого следует указать следующую информацию:
1. Дату инфицирования ПК (может быть также установлена по отчётам Windows).
2. Информацию о варианте вымогателя (записка о выкупе, используемое расширение).
3. Информация о компании-жертве (какое предприятие, организация, размер бизнеса).
4. Как произошло заражение (ссылка или вложение в email, работа в Интернете и пр.).
5. Запрошенная вымогателями сумма выкупа (указывается в записке или на сайте оплаты).
6. Адрес Bitcoin-кошелька вымогателей (указывается в записке или на сайте оплаты).
7. Выплаченная вымогателям сумма выкупа (если выкуп вымогателям был выплачен).
8. Общие потери, связанные с вымогательской инфекцией, включая сумму выкупа.
9. Официальный отчёт о причинённом ущербе, включая заявления от пострадавших.

👉 Сравните информацию, сообщаемую в федеральные органы США, с онлайн-заявлением в Управление "К" МВД России. 


Как помогают собранные данные?

1. Отчётность по преступлениям даёт правоохранительным органам более точную картину о методах нападавших, чтобы они могли попытаться отслеживать и в конечном итоге сорвать их планы.
2. Криминальные сводки помогают правоохранительным органам оценить масштаб проблемы, чтобы выделить ресурсы и обеспечить необходимое финансирование со стороны законодателей или других политиков.
3. Накопление разведывательных данных о киберпреступности помогает следователям лучше коррелировать деятельность их банд, помогая разоблачать и преследовать лиц, участвующих в атаках. 
4. ФБР ранее отмечал, что "значительная часть инфраструктуры, используемая злоумышленниками, размещается за рубежом", и что бюро часто работает с международными правоохранительными органами.


 Read to links: 
 FBI: Incidents of Ransomware on the Rise (апрель 2016)
 FBI urges victims to report ransomware incidents (сент. 2016)
 ID-Ransomware.RU

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 2 марта 2016 г.

Генеалогия

Genealogy Ransomware

Генеалогия Ransomware

(первоисточник)


I have developed and use here the following scheme:

1. Example of inheritance:
Genealogy: Cerber > Alfa
Genealogy: GNL Locker > Zyklon Locker > WildFire Locker

2. Ransomware based on...:
Hidden Tear >> Hi Buddy!, Job Crypter, KryptoLocker, Booyah, KimcilWare, MireWare, 8lock8, Bloccato, Cryptear, GhostCrypt, Fakben, Sanction, HiddenTear 2.0 (EduCrypt), CryptoWall 5.1, Uyari, RektLocker, PokemonGO, Korean, Domino, Flyper, Globe, Russian Globe, HCrypto, MasterBuster, Hollycrypt, CerberTear  ...

EDA2 >> Brazilian, Magic, Strictor, SeginChile, Surprise, Pompous (SkidLocker), MM Locker, AlphaLocker, Russian EDA2, DEDCryptor, SNSLocker, Venus Locker, FSociety, Fantom, LockLock ...

my-Little-Ransomware >> cuteRansomware > BaksoCrypt Ransomware, Crypute Ransomware 

3. When want to show the direct or indirect line of ransomware.
This plain and simple:
- next - symbol '>'
- based on - symbol '>>'
- enumeration - symbol ','
guess of kinship - symbol (?)
kinship, identity - symbol '='
- kinship without firstborn - symbol '' or '<=>'
- switching to another development (
software change, programming language, rebranding, implementation, any rework), for example, HiddenTear to Delphi - symbol '' or '=>'

4. New symbol - this is a designation of a pirated version of already known crypto-ransomware. Must stand will before in front of the name.
Examples: AES-NI >  XData
Petya > Petya+Misha > GoldenEye >  PetrWrap,  Petna (Petya NSA EE) 

5. The new symbol  is the designation of the borrowing from the already known crypto-extortioner (cutout, reuse code). Indicates that a ransom note, source codes, partially reuse code, etc. was borrowed.


Генеалогия вымогателей

Я разработал и использую в этом блоге следующую схему краткого генеалогического описания семейств и происхождения вымогателей. 

1. Наследование записывается при помощи символа > 
Примеры: 
Генеалогия: Cerber > Alfa — означает, что Alfa является приемником Cerber 
Генеалогия: GNL Locker > Zyklon Locker > WildFire Locker — означает, что Zyklon и WildFire являются последовательными приемниками GNL Locker, получившими отдельное развитие. 

2. Базирование записывается при помощи двойного символа >>
Перечисление всех производных от одного базового продукта записывается при помощи "запятой". 

Примеры:
Генеалогия: Hidden Tear >> Hi Buddy!, Job Crypter, KryptoLocker, Booyah, KimcilWare, MireWare, 8lock8, Bloccato, Cryptear, GhostCrypt, Fakben, Sanction, HiddenTear 2.0 (EduCrypt), CryptoWall 5.1, Uyari, RektLocker, PokemonGO, Korean, Domino, Flyper, Globe, Russian Globe, HCrypto, MasterBuster, Hollycrypt, CerberTear  ...

Генеалогия: EDA2 >> Brazilian, Magic, Strictor, SeginChile, Surprise, Pompous (SkidLocker), MM Locker, AlphaLocker, Russian EDA2, DEDCryptor, SNSLocker, Venus Locker, FSociety, Fantom, LockLock ...

Генеалогия: my-Little-Ransomware >> cuteRansomware > BaksoCrypt Ransomware, Crypute Ransomware 

Здесь базовыми продуктами (конструкторами) являются Hidden Tear, EDA2, my-Little-Ransomware.

3. Символы родства вымогателей:
- предположение о родстве или происхождения из шаблона - символ (?)
- при родстве, но разных наименованиях (родство, тождество) - символ '='
- при родстве без указания более раннего, когда первородство неизвестно - символ '' или '<=>'
- переход на другую разработку (ПО, я/п, ребрендинг, реализация, любая переделка), например, с HiddenTear на Delphi - символ '' или '=>'

4. Символ  - обозначение пиратской версии уже известного крипто-вымогателя. Ставится перед названием. Этот символ есть в Windows и Office. 
Примеры: AES-NI >  XData
Petya > Petya+Misha > GoldenEye > ☠ PetrWrap,  Petna (Petya NSA EE) 


5. Символ  - обозначение использованной версии уже известного крипто-вымогателя (вырезка, повтор кода, использование других элементов). Указывает на то, что было что-то повторно использовано, например, заимствована записка о выкупе, исходники, частично код и пр. 


Легко и просто! 


© Amigo-A (Andrew Ivanov): The idea, templates, publishing, translations from other languages, graphics processing, a glossary, notes, screenshotting, OCR-recognition, web-writing, copywriting, rewriting.
© Copyright applies to all articles of the blog. When quoting reference to the blog and / or the author is obligatory.

© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При цитировании и любом использовании материалов ссылка на блог и/или автора обязательна.  

© Amigo-A (Andrew Ivanov): Генеалогия Ransomware / Genealogy Ransomware (первоисточник). 

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *