Если вы не видите здесь изображений, то используйте VPN.

среда, 23 марта 2016 г.

Nemucod

Nemucod Ransomware

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп от 0.39983 до 4 биткоинов за ключ дешифровки. Точнее, шифруются первые 2048 байт файла, используя 255 байт ключа XOR. 

© Генеалогия: Nemucod > Nemucod-AES

К зашифрованным файлам добавляется расширение .crypted
Начальная активность этого крипто-вымогателя пришлась на март-апрель 2016 г. и продолжалась в течении всего 2016 года. 

Записки с требованием выкупа называются: 
Decrypted.txt
Decrypt.txt

Содержание записки о выкупе:
Attention!
All your documents, photos, databases and other important personal files were encrypted using strong RSA-1024 algorithm with a unique key.
To restore your files you have to pay 0.39983 BTC (bitcoins).
Please follow this manual:
1. Create Bitcoin wallet here: https://blockchain.info/wallet/new
2. Buy 0.39983 BTC with cash, using search here: https://localbitcoins.com/buy_bitcoins
3. Send 0.39983 BTC to this Bitcoin address: ***
4. Open one of the following links in your browser to download decryptor:
http://coseap.it/counter/7ad-***
http://globalautomot i ve.i t/counter/?ad-***
http://angelucci.info/counter/7ad-***
http://www.hoanca.cow/counter/?ad-***
http://bibliotecaatualiza.com.br/counter/7ad-***
5. Run decryptor to restore your files.
PLEASE REMEMBER:
- If you do not pay in 3 days YOU LOOSE ALL YOUR FILES.
- Nobody can help you except us.
- It's useless to reinstall windows, update antivirus software, etc.
- Your files can be decrypted only after you make payment.
- You can find this manual on your desktop (DECRYPT.txt).

Перевод записки на русский язык:
Внимание!
Все ваши документы, фото, базы данных и другие важные личные файлы зашифрованы с использованием алгоритма RSA-1024 с уникальным ключом.
Чтобы восстановить файлы вы должны заплатить 0.39983 BTC (Bitcoins).
Пожалуйста, следуйте данному руководству:
1. Создать Bitcoin-кошелек здесь: https://blockchain.info/wallet/new
2. Купить 0,39983 BTC на деньги, используя поиск здесь: https://localbitcoins.com/buy_bitcoins
3. Переслать 0.39983 BTC на Bitcoin-адрес: ***
4. Открыть одну из следующих ссылок в вашем браузере, чтобы загрузить дешифратор:
http://coseap.it/counter/7ad-***
http://globalautomot i ve.i t/counter/?ad-***
http://angelucci.info/counter/7ad-***
http://www.hoanca.cow/counter/?ad-***
http://bibliotecaatualiza.com.br/counter/7ad-***
5. Запустить дешифратор для восстановления файлов.
ПОЖАЛУЙСТА, ПОМНИТЕ:
- Если вы не платите за 3 дня, то потеряете все свои файлы.
- Никто не может помочь вам, кроме нас.
- Бесполезно заново ставить Windows, обновлять антивирус и т.д.
- Ваши файлы могут быть расшифрованы только после того, как вы сделаете оплату.
- Вы можете найти это руководство на рабочем столе (DECRYPT.txt).

Распространяется с помощью email-спама и вредоносных вложений, в частности через загрузчик Nemucod Trojan.Downloader, рассылаемый злоумышленниками по электронной почте в виде JavaScript-вложения (.js) . Когда пользователь откроет JS-вложение, то JS-скрипт сработает, загрузит на компьютер жертвы и сохранит исполняемый, но пока еще неактивный файл вымогателя в директорию %TEMP%\5021052.exe. Затем скрипт создаёт и запускает CMD-сценарий, содержащий команды, которые будут использоваться для поиска файлов и их целенаправленного шифрования.
 JS-исходник Nemucod

Примечательно, что шаги шифрования у Nemucod разделены между двумя программами. Javascript-инсталлеры генерируют различные команды и командные файлы, которые используют загруженные файлы для выполнения процесса шифрования.

После шифрования файлов, CMD-сценарий добавит различные пункты автозапуска в реестре, чтобы ПО вымогателей продолжило работу при следующей загрузке Windows. Когда сценарий закончит работу, он удалит себя с компьютера. После окончании шифрования жертве будет отображена записка с требованием выкупа.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .7z, .accdb, .als, .asm, .aup, .avi, .bas, .blend, .cad, .cdr, .cpp, .cpr, .cpt, .cs, .csv, .doc, .docx, .dsk, .dwg, .eps, .gpg, .gz, .indd, .jpg, .kdb, .kdbx, .lwo, .lws, .m4v, .max, .mb, .mdb, .mdf, .mp4, .mpe, .mpeg, .mpg, .mpp, .npr, .odb, .odm, .odt, .pas, .pdf, .pgp, .php, .ppt, .pptx, .psd, .pub, .rar, .raw, .rtf, .scad, .skp, .sldasm, .slddrw, .sldprt, .ssh, .sxi, .tar, .tif, .tiff, .tsv, .u3d, .vb, .vbproj, .vcproj, .vdi, .veg, .vhd, .vmdk, .wdb, .wmf, .wmv, .xls, .xlsx, .zip (79 расширений). 

Файлы, связанные с Ransomware:
Decrypted.txt

Дополнение про вредоносное ПО Nemucod 
Вредоносное ПО Nemucod было известно задолго до работы как вымогатель. Так, Nemucod TrojanDownloader может установить на ПК пользователя инфекцию Kovter (см. рисунок ниже) и, возможно, другие вредоносные программы. 

Для отдельного удаления этого вредоноса есть специальные инструменты, например, Trojan.Kotver Removal Tool. См. также инструкцию от BleepinComputer по удалению Kovter.

Файлы, связанные с Nemucod Trojan:
%Temp%\502105.txt
%Temp%\5021052.exe
%LocalAppData%\evum\
%LocalAppData%\evum\1QGNQ.2MGvFO
%AppData%\BlastoffCounterpoiseDissimilitude
%AppData%\ForesideDopattaEmpyrean
%AppData%\gangbang.dll
%AppData%\htmlhelp.title.xml
%AppData%\libertine.dll
%AppData%\minimize_hover.png
%AppData%\System.dll
%Desktop%\Decrypt.txt

Записи реестра, связанные с Nemucod Trojan:
HKCU\Software\Classes\.2MGvFO
HKCU\Software\Classes\.2MGvFO\    ayC5
HKCU\Software\Classes\ayC5
HKCU\Software\Classes\ayC5\shell
HKCU\Software\Classes\ayC5\shell\open
HKCU\Software\Classes\ayC5\shell\open\command
HKCU\Software\3c1cee05f3
HKCU\Software\Classes\ayC5\shell\open\command\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\    [unreadable_char]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Crypted    %Temp%\502105.txt
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\    [unreadable_char]

Степень распространённости: высокая.
Подробные сведения собираются.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

История не отслеживалась. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 25 июня 2016:
Сообщение на сайте Microsoft >>
Записка: DECRYPT.txt
BTC: 1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
Сумма выкупа: 0.43466 BTC
➤ Содержание записки: 
ATTENTION!
All your documents, photos, databases and other important personal files
were encrypted using strong RSA-1024 algorithm with a unique key.
To restore your files you have to pay 0.43466 BTC (bitcoins).
Please follow this manual:
1. Create Bitcoin wallet here:
      https://blockchain.info/wallet/new
2. Buy 0.43466 BTC with cash, using search here:
      https://localbitcoins.com/buy_bitcoins
3. Send 0.43466 BTC to this Bitcoin address:
      1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
4. Open one of the following links in your browser to download decryptor:
      http://clermontcentralchurch.org/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
      http://glamcook.com/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
      http://lmapp360.com/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
      http://roofsalesmastery.com/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
      http://oneboxcg.com/counter/?a=1ARsYHbkVnkmQfZWizon8U2jky8cTqoaa8
5. Run decryptor to restore your files.
PLEASE REMEMBER:
      - If you do not pay in 3 days YOU LOOSE ALL YOUR FILES.
      - Nobody can help you except us.
      - It`s useless to reinstall Windows, update antivirus software, etc.
      - Your files can be decrypted only after you make payment.
      - You can find this manual on your desktop (DECRYPT.txt).

Обновление от *** 2016:
Сообщение на форуме >>
Записка: DECRYPT.txt
BTC: 1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
Сумма выкупа: 0.55165 BTC
➤ Содержание записки: 
ATTENTION!
All your documents, photos, databases and other important personal files
were encrypted using strong RSA-1024 algorithm with a unique key.
To restore your files you have to pay 0.55165 BTC (bitcoins).
Please follow this manual:
1. Create Bitcoin wallet here:
      https://blockchain.info/wallet/new
2. Buy 0.55165 BTC with cash, using search here:
      https://localbitcoins.com/buy_bitcoins
3. Send 0.55165 BTC to this Bitcoin address:
      1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
4. Open one of the following links in your browser to download decryptor:
      http://viktoriaschool.ru/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
      http://tienda-mediterranea.de/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
      http://www.united-systems.it/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
      http://pasargad1007.com/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
      http://www.sateltrack.net/counter/?a=1JJTrgQ7fnLwoQ9LKjVRiUGaUstM2aQqBT
5. Run decryptor to restore your files.
PLEASE REMEMBER:
      - If you do not pay in 3 days YOU LOOSE ALL YOUR FILES.
      - Nobody can help you except us.
      - It`s useless to reinstall Windows, update antivirus software, etc.
      - Your files can be decrypted only after you make payment.
      - You can find this manual on your desktop (DECRYPT.txt).







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик. 
Скачать Emsisoft Nemucod Decryptor >>>
Подробная инструкция по использованию прилагается. 
*
*
Emsisoft Decryptor for Nemucod >>
Write-up from Bleeping Computer >>
 Thanks: 
 Fabian Wosar, Michael Gillespie, Lawrence Abrams 
 Andrew Ivanov (author)
 Emsisoft
© Amigo-A (Andrew Ivanov): All blog articles.

BankAccount Summary

BankAccountSummary Ransomware

Strictor Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы, найденные в документах пользователя, с помощью алгоритма AES-256 и требует выкуп в $500, чтобы вернуть файлы обратно. Если выкуп не поступит вовремя, то сумма вырастет до $1000. Вымогатель создан на основе крипто-конструктора EDA2. 

© Генеалогия: EDA2 >> Strictor

К зашифрованным файлам добавляется расширение .locked



Содержимое записки о выкупе:
All your precious Files on your computer
I have successfully encrypted!
Your files are encrypted To get the key to decrypt flies you have to pay 500 USD. 
If payment is not made before 19/03/16 the cost of decrypting files will increase 2 times and will be 1000 USD
Click below to pay us the bitcoins!!!

Перевод записки на русский язык:
Все ваши ценные файлы на компьютере
Я успешно зашифровал!
Файлы зашифрованы, чтобы получить ключ дешифровки нужно заплатить 500 долл. 
Если оплата не поступит до 19/03/16, то стоимость дешифровки возрастет в 2 раза и станет 1000 долл.
Нажмите "Pay" для оплаты в Bitcoins!!!

 Для инфицирования компьютера используется поддельный банковский счёт "Bank_Account_Summary.pdf.exe", который приходит по email. Отсюда и название вымогателя. Для платежа предложен поддельный CryptoWall-сайт: хттп://202.181.194.227/cryptowall 

Вымогатель вносит следующие изменения в реестр: 
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\ConsoleTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\EnableConsoleTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\EnableFileTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\FileDirectory
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\FileTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASAPI32\MaxFileSize
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\ConsoleTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\EnableConsoleTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\EnableFileTracing
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\FileDirectory
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\FileTracingMask
HKLM\SOFTWARE\Microsoft\Tracing\Bank_Account_Summary_RASMANCS\MaxFileSize

  Вымогателем генерируется случайный пароль из 10 цифр, с которым через функцию FileEncryption шифруется вся информация, найденная в папке пользователя "Мои документы". В отличие от других вымогателей этот не выбирает какой-то конкретный тип файлов, поэтому шифрование затрагивает все файлы, находящиеся в этом каталоге.

  По завершения шифрования в папке C:\Users\Name\Documents\ создается специальный файл WindowsUpdate.locked, который информирует жертву о том, что случилось с его файлами, и что нужно сделать, чтобы их вернуть. Забавно, но в верхней части этого сообщения находится пароль, с которым была зашифрована вся информация. 



  Информация о шифровании отправляется на C&C-сервер, расположенный в Гонконге. 

Примечательно, что вредонос будет пытаться пинговать сайт 202.181.194.227/cryptowall, а если ни один из 10 запросов не пройдёт, то будет показано следующее сообщение:
"Are you trying to fool me? Connect me to the Internet ;)"

Перевод на русский:
"Хотите обмануть меня? Подключитесь к Интернету;)"


  Благодаря инструментам HT Bruteforcer и HT Decrypter, созданным Майклом Джиллеспи для поиска пароля и дешифрования файлов, пострадавшие от этого вымогателя могут вернуть свои файлы без уплаты выкупа. 

Степень распространённости: низкая.
Подробные сведения собираются. 

вторник, 22 марта 2016 г.

Surprise

Surprise Ransomware 

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп от 0,5 до 25 биткоинов, чтобы вернуть файлы обратно. Название происходит. К зашифрованным файлам добавляется расширение .surprise или .tzu в другой версии. Активность этого криптовымогателя пришлась на март 2016 г. 

© Генеалогия: EDA2 >> Surprise 

Записки с требованием выкупа являются файлы DECRYPTION_HOWTO.Notepad и Encrypted_Files.Notepad, которые размещаются на Рабочем столе. 

Содержание записки о выкупе: 
What happened to your files?
All of your files were protected by a strong encryption.
There is no way to decrypt your files without the key.
If your files not important for you just reinstall your system.
If your files is important just email us to discuss the price and how to decrypt your files.
You can email us to nowayout_at_protonmail.com and nowayout_at_sigaint.org
Write your Email to both email addresses PLS
We accept just BITCOIN if you don’t know what it is just google it.
We will give instructions where and how you buy bitcoin in your country.
Price depends on how important your files and network is.it could be 0.5 bitcoin to 25 bitcoin.
You can send us a 1 encrypted file for decryption.
Feel free to email us with your country and computer name and username of the infected system.

Перевод записки на русский язык: 
Что случилось с файлами?
Все ваши файлы защищены сильным шифрованием.
Невозможно дешифровать файлы без ключа.
Если файлы для вас не важны, переустановите систему.
Если файлы важны, напишите нам, чтобы обсудить цену и дешифровать файлы.
Вы можете писать на nowayout_at_protonmail.com и nowayout_at_sigaint.org
Напишите нам на оба email-адреса, пожалуйста
Мы берём только Bitcoin, если не знаете, что это, погуглите.
Мы дадим инструкцию, где и как купить Bitcoin в вашей стране.
Цена зависит от того, насколько важны файлы и может быть от 0,5 до 25 Bitcoin.
Вышлите нам 1 зашифрованный файл для дешифровки.
Укажите название страны, имя компьютера и имя пользователя заражённой системы.

Файл DECRYPTION_HOWTO.Notepad содержит также инструкции по дешифрованию. Пользователям рекомендуется связаться с разработчиками для получения дальнейших инструкций. Сумма требуемого выкупа зависит от степени важности данных и может варьироваться в пределах от 0,5 до 25 BTC (на время исследования, что эквивалентно US $ 206,63 - US $ 10331,25). Условия выплаты обсуждаются индивидуально.

В целом функционал вымогателя не отличается от возможностей других представителей ПО подобного типа, но примечателен способ его распространения. Для данной цели злоумышленники используют TeamViewer - популярный инструмент удаленного доступа и помощи. У большинства жертв вредоноса был установлен TeamViewer версии 10.0.47484.

По словам эксперта компании PrivacyPC Дэвида Балабана, анализировавшего журналы трафика TeamViewer, злоумышленники удаленно запустили процесс surprise.exe на компьютерах жертв. Вероятно, преступники могли воспользоваться учетными данными, похищенными в результате взлома компьютерных систем TeamViewer, но в самой компании опровергли вероятность несанкционированного проникновения.

 Список файловых расширений, подвергающихся шифрованию: 
 .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .ais, .amf, .amr, .amu, .amx, .ans, .ap, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase,.asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bsp, .cag, .cam, .car, .cbr, .cbz, .ccd, .cch, .cd, .cdr, .cer, .cgf, .chk, .cms, .col, .crd, .crt, .cso, .ctt, .cty, .dal, .dap, .ddc, .ddcx, .dem, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .err, .euc, .evo, .faq, .fcd, .fdr, .fds, .ff, .flp, .flv, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lcd, .lcf, .ldb, .lgp, .lp2, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .msg, .msp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .png, .pot, .potx, .ppd, .ppf, .pps, .ppsx, .ppt, .pptm, .pptx, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qtq, .ra, .rar, .raw, .rev, .rgn, .rng, .rrt, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .snp, .spr, .sql, .sqx, .srt, .ssa, .stt, .stx, .sud, .svi, .svr, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .trp, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vcd, .vdo, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wsh, .wtd, .wtf, .wvx, .xl .xls, .xlsm, .xlsx, .xpi, .xvid, .xwd, .z02, .z04, .zap, .zip, .zipx, .zoo (343 расширения). 

 Файлы, связанные с Surprise Ransomware: 
%Desktop%\DECRYPTION_HOWTO.Notepad
%Desktop%\Encrypted_Files.Notepad
%Desktop%\surprise.bat
%Desktop%\surprise.exe

 Сетевые подключения и связи: 
nowayout@protonmail.com
nowayout@sigaint.org
besthuk@mail.ru
viper317887@gmail.com
wearehere@sigaint.org

Обновление от 21 февраля 2017:
Email: besthuk@mail.ru viper317887@gmail.com wearehere@sigaint.org
Содержание записки: 
What happened to your files ?
All of your files were protected by a strong encryption.
There is no way to decrypt your files without the key.
If your files not important for you just reinstall your system.
If your files is important just email us to discuss the price and how to decrypt your files.
You can email us to besthuk@mail.ru ; viper317887@gmail.com ; wearehere@sigaint.org
Write your Email to ALL email addresses PLS
We accept just BITCOIN if you dont know what it is just google it.
We will give instructions where and how you buy bitcoin in your country.
Price depends on how important your files and network is.it could be 0.5 bitcoin to 100 bitcoin.
You can send us a 1 encrypted file for decryption.
Feel free to email us with your country and computer name and username of the infected system.

Обновление от 7 марта 2017:
Расширение: .tzu

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Ссылки:
Статья на BC

понедельник, 21 марта 2016 г.

Xorist

Xorist Ransomware (2016-2019)

(шифровальщик-вымогатель, семейство) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

   Здесь собраны и частично описаны разные варианты этого семейства, известного с 2012 года. Для некоторых написаны отдельные статьи с подробной информацией, не помещающейся в рамки небольшой заметки-обновления по датам. Некоторые варианты Xorist Ransomware распространяются из Украины политически мотивированными хакерами и преступниками. 

Информация о шифровальщике Xorist 


   Это целое семейство крипто-вымогателей, базирующееся на крипто-конструкторе Encoder Builder, в котором можно задавать различные параметры для будущего крипто-вымогателя: 
- список целевых файловых расширений для шифрования; 
- формат расширения, добавляемого к зашифрованным файлам; 
- алгоритм шифрования (XOR или TEA); 
- пароль шифрования; 
- число попыток для ввода пароля; 
- пароль дешифрования; 
- язык интерфейса; 
- изображения для экрана блокировки и смены обоев; 
- добавление в автозагрузку системы и другие фичи. 

  После выбора желаемых опций создать новый крипто-вымогатель этого семейства можно нажатием всего одной кнопки Create! (Создать!).


Так выглядит Builder для Xorist-вымогателей (английская и русская версия)

По умолчанию, Encoder Builder настроен на создание стандартного для Xorist-семейства сообщения с требованием выкупа, но всё, разумеется, настраивается под желание создающего. 


Фабиан Восар из Emsisoft обнаружил этот Encoder Builder и создал дешифровщик (декриптер) для этой семьи крипто-вымогателей, который помогает дешифровать старые и новые версии шифровальщиков семейства Xorist. 

Пострадавших от семейства Xorist-вымогателей становится всё больше в запросах помощи на форумах безопасности и лечения от вирусов.


Технические детали

Самоназвание: 0p3nSOurc3 X0r157 (OpenSource Xorist). 
Разработчик: vazonez 

Шифровальщик и его варианты могут распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Проблема идентификации крипто-вымогателя заключается в том, что зашифрованные файлы имеют различные расширения, различаются и записки с требованием выкупа, что затрудняет жертве поиск информации на получение помощи. 

Например, на момент написания статьи мы видели варианты этих вымогателей, которые добавляли к зашифрованным файлам следующие расширения: .EnCiPhErEd, .73i87A, .p5tkjw, .PoAr2w, .fileiscryptedhard, .pa2384259 ... И это только малая часть вариантов.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp, .7z, .ac3, .ape, .avi, .bmp, .cdr, .cer, .dbf, .divx, .djvu, .doc, .docx, .dwg, .flac, .flv, .gif, .gzip, .htm, .html, .ifo, .jpeg, .jpg, .kwm, .lnk, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png, .ppt, .pptx, .psd, .pwm, .rar, .tar, .torrent, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsx,.zip (57 расширений). 

Степень распространённости: высокая.
Подробные сведения собираются. 



Примечание 1. От 14 декабря 2017 года
В списке на данный момент времени 73 варианта расширений:
.ava
.cerber
.LOCKED
.workencryptincfolder@india.com=.cerberV5
.xdata
.0JELvV
.5vypSa
.6FKR8d
.73i87A
.@EnCrYpTeD2016@
.antihacker2017
.asdasdasd
.BLACKSNOW
.BLACK_MAMBA_Files@QQ.COM
.Blocked2
.C0rp0r@c@0Xr@t
.CerBerSysLocked0009881
.Cerber_RansomWare@qq.com
.cryptolocker
.CryPton
.deccripted@gmail.com
.decryptable_options@tutanota.com
.decrypter@tutanota.com
.DecryptFilesOnlineServices@gmail.com
.decryptoffice@tuta.io
.decryptor@keemail.me
.DECRYPT-ID-([0-9]{7,8})
.EnCiPhErEd
.ENCODED
.encoderpass
.error
.error667332([0-9]{5})
.errorfiles
.ERRORID22779911
.ERROR-ID-631001111
.fast_decrypt_and_protect@tutanota.com
.FbFu
.filebk
.fileiscryptedhard
.HELLO
.id-([0-9]{8}){frogobigens@india.com}.lock
.id-{([0-9-A-Z]*)}_decrypt24@india_com
.id09042
.imme
.InSDelCryptEnd
.InSDelCryptEnd2
.n1wLp0
.okean-1955@india.com.xtbl
.p5tkjw
.pa2384259
.PoAr2w
.protect_and_security@tutamail.com
.Recoverfiles2017@qq.com
.RecoverSystem@keemail.me
.repairme2017@keemail.me
.repairme@tutanota.com
.RSA-4096
.rtyrtyrty
.RuSVon
.RusVon
.SaMsUnG
.stoppirates
.sunliga
.support_repair@qq.com
.UslJ6m
.xdfxdfxdf
.YNhlv1
.zc3791
.zonfi
.zonfir
.zongros
....error77002017111
.__xratteamLucked


***



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Xorist Family (семейство Xorist в этом блоге):
Xorist-Vandev - сентябрь - октябрь 2012.
Xorist-EnCiPhErEd Ransomware - май 2016
Xorist-FakeRSA Ransomware - февраль 2017
Xorist-Zixer2 Ransomware - апрель 2017
Xorist-TraNs Ransomware - июнь 2017
Xorist-RuSVon Ransomware - июль 2017
Xorist-Hello Ransomware - август 2017
Xorist-CerBerSysLock Ransomware - декабрь 2017
Xorist-Frozen Ransomware - февраль 2018
Xorist-XWZ Ransomware - март 2018
Xorist-TaRoNiS - июль 2018
Xorist 2020 - 2021 Ransomware
и другие, см. список на алфавитной странице



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства.

Обновление от 3 марта 2016:
Алгоритм: XOR
Расширение: .o11fFQ
Email: unblocked@email.su, unblocked@tuta.io
Топик на форуме >>
Сообщение на сайте chklst.ru >>


Обновление от 22 мая 2016:
Статья Xorist-EnCiPhErEd Ransomware >>

Обновление от 16-17 апреля 2017:
Статья Xorist-FakeRSA Ransomware >>

Обновление от 18 апреля 2017:
Email: workencryptincfolder@india.com
Алгоритм шифрования: TEA
Тема на форуме >>
Расширение: .cerberV5
Составное расширение: .workencryptincfolder@india.com=.cerberV5
Пример зашифрованного файла: file_name.doc.workencryptincfolder@india.com=.cerberV5
Email: workencryptincfolder@india.com
Генерируются уникальные параметры для каждой папки. 
Файлы шифруются разными ключами.

Обновление от 12 мая 2017:
Email: decripted2017@gmail.com
Расширение: .decripted2017@gmail.com

Обновление от 16 мая 2017:
Расширение: .SaMsUnG
Анализы: VT

Обновление от 23 мая 2017:
Расширение: .xdata
Файл: .exe
Анализы: VT

Обновление от 19 июня 2017:
Распространяется путём взлома через незащищенную конфигурацию RDP. 
Расширение: .blocked@blocked.cc
Email: secure2017@tuta.io
BTC: 13erqqbBFUaVLyLPwm3dUhApG4xAVQd5Ei
Записка: HOW TO DECRYPT FILES.txt
➤ Содержание записки: 
YOUR SYSTEM IS LOCKED AND ALL YOUR DATA HAS BEEN ENCRYPTED.
DON'T WORRY YOUR FILES AS SAFE.
TO RETURN ALL THE NORMALLY YOU MUST BUY THE DECRYPTOR PROGRAM.
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
https://coinatmradar.com/   (find a ATM)
https://www.localbitcoins.com/  (buy instantly online any country)
THE PRICE FOR DECRYPTOR SOFTWARE IS 1 BTC
BTC ADRESS : 13erqqbBFUaVLyLPwm3dUhApG4xAVQd5Ei
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
For more information : secure2017@tuta.io    (24/7)
Subject : SYSTEM-ID:20172018
Топик поддержки на форуме >>

Обновление от 7 июля 2017:
Расширение: .RuSVon
Файлы: Start.exe
Результаты анализов: HA + VT

Обновление от 8 августа 2017:
Статья Xorist-Hello Ransomware >>
Расширение: .HELLO
Результаты анализов: VT

Обновление от 6 сентября 2017:
Расширение: .Blocked2
Файлы: VBoxDTrace.exe
Результаты анализов: VT

Обновление от 16 октября 2018:
🎥 Видеообзор от GrujaRS >>
Распространяется путём взлома через незащищенную конфигурацию RDP. 
Расширение: ....error77002017111
Email: 1ss33ggur@scryptmail.com
BTC: 1AXaJtH9r1ez3KyWtLshw9opYzmK4sE3PWЗаписка: HOW TO DECRYPT FILES.txt
➤ Содержание записки: 
YOUR SYSTEM IS LOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.
DON'T WORRY YOUR FILES ARE SAFE.
TO RETURN ALL THE NORMALLY YOU MUST BUY THE CERBER DECRYPTOR PROGRAM.
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
https://coinatmradar.com/   (find a ATM)
https://www.localbitcoins.com/  (buy instantly online any country)
THE PRICE FOR DECRYPTOR SOFTWARE IS 1 BTC
BTC ADRESS : 1AXaJtH9r1ez3KyWtLshw9opYzmK4sE3PW
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.
THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.
For more information : 1ss33ggur@scryptmail.com    (24/7)
Subject : SYSTEM-LOCKED-ID: XXXXXXXX
➤ Скомпрометированные сайты: 
xxxx://amymeila.com/
xxxx://tjhyml.com/
➤ Скриншот с сайтов


➤ 
Текст на сайтах: 
It's Not Over! WannaCry?
Corrupted FILES!
To Fix Your Corrupted FILES! Contact : 1ss33ggur@scryptmail.com
With Privat Subject ID = error2299330 
Corrupted FILES!
Файлы: Tax Refund notification.exe
Результаты анализов: VT


Обновление от 10 ноября 2018:
Расширение: .1ss33ggur
Email: 1ss33ggur@scryptmail.com
BTC: 1AXaJtH9r1ez3KyWtLshw9opYzmK4sE3PW
Записка: HOW TO DECRYPT FILES.txt
➤ Содержание записки: 
YOUR SYSTEM IS LOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.
DON'T WORRY YOUR FILES ARE SAFE.
TO RETURN ALL THE NORMALLY YOU MUST BUY THE CERBER DECRYPTOR PROGRAM.
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
https://coinatmradar.com/ (find a ATM)
https://www.localbitcoins.com/ (buy instantly online any country)
THE PRICE FOR DECRYPTOR SOFTWARE IS 1 BTC
BTC ADRESS : 1AXaJtH9r1ez3KyWtLshw9opYzmK4sE3PW
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.
THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.
For more information : 1ss33ggur@scryptmail.com (24/7)
Subject : SYSTEM-LOCKED-ID: 10199999


Обновление от 7 декабря 2017:
Пост в Твиттере >>
Статья Xorist-CerBerSysLock Ransomware >>
Расширение: .CerBerSysLocked0009881

Обновление от 3 января 2018: 
Пост в Твиттере >>
Расширение: .cryptedx
Записка: HOW TO DECRYPT FILES.txt
Файл: dawdawd.exe
Результаты анализов: VT + VT
Статус: Дешифруем!


Обновление от 5 июня 2018:
Расширение: .GrAnoSinsa
Статус: Дешифруем!

Обновление от 26 января 2018:
Самоназвание или использованное слово: crypt0nx
Пост в Твиттере >>
Расширение: .mafee
Записка: HOW TO DECRYPT FILES.txt
Результаты анализов: VT + IA
Обновленный вариант см. в статье Xorist-Mcafee Ransomware

Обновление от 29 января 2018:
Пост в Твиттере >>
Расширение: .mbrcodes
Записка: HOW TO DECRYPT FILES.txt
Email: mbrcodes@india.com
➤ Содержание записки: 
Seus arquivos foram compactados!
Para recupera-los, voce precisa de uma chave de segurança.
Caso tenha real interesse na recuperação deles envie seu código para consulta: 14rescryptedsadfg
Para o email: mbrcodes@india.com
alterações no sistema operacional resultará imediatamente na perca total dos dados!
Seu contato será respondido o mais rápido possível.


Обновление от 25 февраля 2019:
Пост в Твиттере >>
Расширение: .
Записка: HOW TO DECRYPT FILES.txt
Файл EXE: recibo.pdf.exe
Результаты анализов: VT + VMR + IA






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!!! 
Для зашифрованных файлов есть декриптер. 
Скачать декриптер и дешифровать файлы >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 Alex Svirid
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *