Если вы не видите здесь изображений, то используйте VPN.

вторник, 5 апреля 2016 г.

CryptoMix

CryptoMix Ransomware 

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в 5 биткоинов, чтобы вернуть файлы обратно. Чтобы оправдать такую завышенную сумму, вымогатели придумали сказку о том, что деньги пойдут на благотворительность. 

© Генеалогия: CryptoMix > CryptFIle2
© Генеалогия: CryptoMix > Lesli
© Генеалогия: CryptoMix > RDMK
© Генеалогия: CryptoMix > CryptoShield 1.0 > CryptoShield 2.0
© Генеалогия: CryptoMix > Mole > Mole 2.0
© Генеалогия: CryptoMix > Revenge
© Генеалогия: CryptoMix > Wallet

© CryptoMix Revenge generation
© CryptoMix Revenge поколение:
AzerNoobExte, PirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881, Coban - октябрь 2017
XZZX, 0000, Test - ноябрь 2017
WORK, FILETastylock - декабрь 2017
SERVER, System - январь 2018
MOLE66 - март 2018
Backup - май 2018
SYS - июнь-август, декабрь 2018
DAT (WINDAT) - январь 2019
DLL - апрель 2019

Этимология названия:
Название связано с тем, что этот крипто-вымогатель представляет собой мешанину (mix) из других криптовымогателей: CryptoWall 3.0, CryptoWall 4.0 и CryptXXX. Иногда его ещё называют CryptMix. Активность этого крипто-вымогателя (оригинальной версии) пришлась на март-апрель-май 2016 г. 

К зашифрованным файлам добавляется расширение .code, составленное по шаблону (FILE_NAME.EXTENSION).id_(ID_MACHINE)_email_xoomx@dr.com_.code. 

Пример имени зашифрованного файла: photo.jpg.id_4cef26603863_email_xoomx@dr.com_.code

Записки с требованием выкупа помещаются во всех папках с файлами, а называются:
HELP_YOUR_FILES.html — название взято от CryptXXX
HELP_YOUR_FILES.txt — взято от Cryptowall 3.0, 4.0



Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/rsa_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personal RSAj-2048 key, both public and private.
!!! ALL YOUR files were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with tne help of the private key and decrypt program, which is on our Secret Server
What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining bitcoin now! , and restore your data easy way. 
If you have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
For more specific instructions:
Contact us by email only, send us an email along with your ID number and wait for further instructions. Our specialist will contact you within 12 hours.
For you to be sure, that we can decrypt your files - you can send us a single encrypted file and we will send you back it in a decrypted form. This will be your guarantee.
E-MAIL1: xoomx@dr.com
E-MAIL2: xoomx@usa.com
YOUR_ID: 4cef26603863

Перевод записки на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com
Что случилось с файлами?
Все ваши файлы были защищены сильным шифрованием RSA-2048.
Более подробную информацию о ключах шифрования с RSA-2048 можно найти здесь: http://en.wikipedia.org/wiki/rsa_(cryptosystem)
Как это произошло ?
!!! Специально для вашего ПК был создан персональный RSA-2048 ключ, и открытый и секретный.
!!! Все ваши файлы зашифрованы с помощью открытого ключа, переданного с компьютера через Интернет.
!!! Дешифрование файлов возможно только с помощью секретного ключа и декриптера, который находится на нашем секретном сервере.
Что мне делать?
Есть два способа, которые вы можете выбрать: ждать чуда и увеличить цену в 2 раза, или начать получать Bitcoin прямо сейчас! , И восстановить данные легким путём. 
Если у вас есть действительно ценные данные, то лучше не тратить свое время, т.к. нет никакого другого пути получить ваши файлы, кроме как совершить платеж.
Подробные инструкции:
Свяжитесь с нами по email, пришлите ваш ID номер и ждите дальнейших указаний. Наш специалист свяжется с Вами за 12 часов.
Для подтверждения, что мы можем расшифровать ваши файлы - вы можете прислать нам 1 зашифрованный файл, и мы вернем вам его в расшифрованном виде. Это будет ваша гарантия.
E-Mail1: xoomx@dr.com
E-Mail2: xoomx@usa.com
Your_ID: 4cef26603863



Технические детали

Распространяется с помощью email-спама и вредоносных вложений, письма содержат ссылки на вредоносные веб-сайты, зараженные набором эксплойтов, которые используют уязвимости в браузерах пользователей и их плагинов для доставки и установки CryptoMix. 

Попав на ПК жертвы, CryptoMix автоматически запускает сканирование и поиск 864 различных типов файлов. Потом CryptoMix пытается связаться со своим C&C-сервером, чтобы установить ключ для шифрования файлов (с алгоритмом AES-256). Если сервер недоступен или нет интернет-подключения, то CryptoMix будет шифровать файлы с одним из его основных ключей "в автономном режиме".

После завершения процесса шифрования, CryptoMix размешает записку с требованием выкупа, заимствуя HTML-записку у к/в CryptXXX, а TXT-записку — у CryptoWall.

Вымогатели, назвавшиеся Charity Team, предлагают вместе с уникальным ключом защиту ПК и бесплатную техническую поддержку для решения любых проблем с ПК в течение 3 лет. Деньги якобы будут потрачены на благотворительность, некие дети получат подарки и медицинскую помощь, а имя заплатившего 5 биткоинов будет в этом благотворительном списке. Через 24 часа сумма выкупа удвоится.

После шифрования теневые копии файлов удаляются. 

Список файловых расширений, подвергающихся шифрованию:
.0, .1, .1st, .2bp, .3dm, .3ds, .3fr, .3g2, .3gp, .4db, .73i, .7z, .9png, .a3d, .abm, .abs, .abw, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .accft, .act, .adn, .adp, .af3, .aft, .afx, .agif, .agp, .ai, .aic, .aif, .aim, .albm, .alf, .ani, .ans, .apd, .apm, .apng, .aps, .apt, .apx, .ar, .arc, .art, .artwork, .arw, .as, .asc, .ascii, .ase, .asf, .ask, .asm, .asp, .asw, .asx, .asy, .at, .aty, .avatar, .awdb, .awp, .awt, .aww, .azz, .ba, .backup, .bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bik, .blend, .blkrt, .bm2, .bmp, .bmx, .bmz, .bna, .bnd, .boc, .bok, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .byu, .bz, .bza, .bzabw, .c, .c4, .c4d, .cal, .cals, .can, .cd5, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .cf, .cfg, .cfu, .cgm, .chart, .chord, .cin, .cit, .ckp, .class, .clkw, .cma, .cmx, .cnm, .cnv, .cp, .cpc, .cpd, .cpg, .cpp, .cps, .cpt, .cpx, .cr2, .crd, .crwl, .cs, .css, .csv, .csy, .ct, .cv5, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .daconnections, .dacpac, .dad, .dadiagrams, .daf, .daschema, .dat, .db, .db-shm, .db2, .db3, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dc2, .dca, .dcb, .dcs, .dct, .dcx, .dd, .ddl, .ddoc, .dds, .ded, .design, .dgc, .dgn, .dgs, .dgt, .dhs, .dib, .dicom, .diz, .djv, .djvu, .dm3, .dmo, .dmp, .dnc, .dne, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dpp, .dpx, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dts, .dtsx, .dtw, .dv, .dvi, .dwg, .dx, .dxb, .dxf, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .email, .emd, .emf, .emlx, .ep, .epf, .epp, .eps, .epsf, .eql, .erf, .err, .etf, .euc, .exr, .f, .fadein, .fal, .faq, .fax, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fi, .fic, .fid, .fif, .fig, .fil, .flac, .fli, .fodt, .fol, .fountain, .fp3, .fp4, .fp5, .fp7, .fpt, .fpx, .ft7, .ft8, .ft9, .ftn, .fwdn, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gdraw, .gem, .geo, .gfb, .gfie, .ggr, .gho, .gif, .gim, .gio, .gl, .glox, .gmbck, .gmspr, .gpd, .gpn, .gro, .grs, .gsd, .gthr, .gtp, .gv, .gwi, .gz, .h, .hbk, .hdb, .hdp, .hdr, .hht, .his, .hpg, .hpgl, .hpi, .hpl, .hpp, .hs, .htm, .html, .hwp, .hz, .i3d, .ib, .icn, .icon, .icpr, .idc, .idea, .igt, .igx, .ihx, .iiq, .imd, .indd, .info, .ink, .int, .ipx, .it, .itc2, .itdb, .itw, .iwi, .j, .j2c, .j2k, .jas, .java, .jb2, .jbig, .jbig2, .jbmp, .jbr, .jis, .jng, .joe, .jp2, .jpe, .jpeg, .jpg, .jpg2, .jps, .jpx, .js, .jtx, .jxr, .kdb, .kdc, .kdi, .kdk, .key, .kic, .knt, .kon, .kpg, .kwd, .latex, .lay, .layout, .lbm, .lbt, .lgc, .lit, .ljp, .log, .ltr, .ltx, .lue, .lws, .lyt, .lyx, .m3d, .m3u, .m4v, .ma, .mac, .maf, .man, .map, .maq, .mat, .max, .mb, .mbm, .mbox, .md5, .mdb, .mdf, .mdn, .mdt, .me, .mft, .mgcb, .mgmx, .mgt, .min, .mkv, .mmat, .mng, .mnt, .mob, .mobi, .mos, .mov, .movie, .mp3, .mp4, .mpf, .mpg, .mrg, .mrxs, .msg, .mt9, .mud, .mwb, .mwp, .mxl, .myd, .myl, .ncr, .nct, .ndf, .nfo, .njx, .nlm, .notes, .now, .nrw, .ns2, .ns3, .ns4, .nwctxt, .nyf, .nzb, .obj, .oc3, .oc4, .oc5, .oce, .ocr, .odb, .odo, .ods, .odt, .of, .oft, .openbsd, .oplc, .oqy, .ora, .orf, .ort, .orx, .ota, .otg, .oti, .ott, .ovp, .ow, .owc, .owg, .oyx, .oz, .ozb, .ozj, .p7s, .p96, .p97, .pages, .pal, .pano, .pap, .pas, .pbm, .pc3, .pcd, .pcs, .pct, .pcx, .pdb, .pdd, .pdf, .pdm, .pdn, .pe4, .pf, .pfd, .pff, .pfs, .pfx, .pgf, .pgm, .phm, .php, .pi3, .pic, .pict, .pix, .pjpeg, .pjpg, .pjt, .pl, .plantuml, .plt, .pm, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pp4, .pp5, .ppm, .pps, .ppt, .pptm, .pptx, .prw, .ps, .psd, .psdx, .pse, .psid, .psp, .pspbrush, .psw, .ptg, .pth, .ptx, .pu, .puz, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .py, .pz3, .pza, .pzp, .pzs, .qdl, .qmg, .qpx, .qvd, .r3d, .ra, .rad, .rar, .ras, .raw, .rb, .rctd, .rcu, .rdb, .rdl, .readme, .rgb, .rib, .ris, .rl, .rle, .rli, .rm, .rp, .rpd, .rpt, .rs, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .run, .rw2, .rwl, .rzk, .rzn, .s2mv, .s3m, .saf, .safetext, .sai, .sam, .sav, .save, .sbf, .scad, .scc, .sci, .scm, .scriv, .scrivx, .sct, .scv, .scw, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfera, .sfw, .sgm, .sig, .sk2, .skcard, .skm, .sla, .slagz, .sld, .sldasm, .slddrt, .sldprt, .sls, .smf, .smi, .smil, .sms, .snagitstamps, .snagstyles, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srw, .ssa, .ssk, .st, .ste, .stm, .stn, .stp, .str, .strings, .stw, .stx, .sty, .sub, .sumo, .sva, .svf, .svg, .svgz, .swf, .sxd, .sxg, .sxw, .t2b, .tab, .tar, .tb0, .tbn, .tcx, .tdf, .tdt, .teacher, .tex, .text, .tfc, .tg, .tg4, .tga, .thm, .thp, .thumb, .tif, .tiff, .tm, .tm2, .tmd, .tmp, .tmv, .tmx, .to, .tp, .tpc, .tpi, .trelby, .trm, .tvj, .txt, .u3d, .u3i, .udb, .ufo, .uga, .unauth, .unity, .unx, .upd, .usertile-ms, .usr, .utf8, .utxt, .v12, .vault, .vb, .vbr, .vc, .vct, .vda, .vdb, .vec, .vml, .vnt, .vpd, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vw, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw (864 расширения). 

Копия исходного файла имеет в названии идентификатор инфицированного ПК:
C:\Users\pc\AppData\Roaming\AdobeFlashPlayer_4cef26603863.exe (AdobeFlashPlayer_(MACHINE_ID).exe)



Данные о зашифрованных файлах отправляются на C&C-сервер, расположенный на IP-адресах, приписанных к Украине. Ключи шифрования управляются и сохраняются с помощью компонента ola.php. Маршруты хранятся и управляются с помощью компонента d1.php со следующей структурой: /fs/l/d1.php?id=(ID_MAQUINA)&log=(PATH_TO_FILE). Первая жертва шифровальщика отмечена 24 апреля.

Используются и модифицируются следующие ключи реестра:
HKLM\Software\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider
HKLM\Software\Microsoft\Cryptography\DESHashSessionKeyBackward
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader UpdateSoftWare
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*Adobe Reader Update32
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AdobeFlashPlayerSoftWare
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*AdobeFlashPlayers32
HKCU\Software\Adobe Reader LicensionSoftWare\AdobeFirstVersionSoftWare
HKCU\Software\Adobe Reader LicensionSoftWare\AdobeLicensionSoftWare

Email вымогателей
xoomx@dr.com и xoomx@usa.com

Результаты анализов: 
Гибридный анализ >>
VirusTotal анализ >>


Степень распространённости: высокая, включая новые итерации.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Смотрите в начале статьи. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 14 декабря 2016:
Пост в Твиттере >>
Файлы: radEF352.tmp.exe
Фальш-имя: Microsoft Decode Ransomware
Расширение: .lesli
Шаблон: .email[supl0@post.com]id[\[[a-z0-9]{16}\]].lesli
Записка: INSTRUCTION RESTORE FILE.TXT
Email: supl0@post.com, supl0@oath.com
Результаты анализов: VT, HA


Обновление от 9 января 2017:
Пост в Твиттере >>
Файл: MS SecurityFiles.exe
Фальш-имя: MS SecurityFiles.
Расширение: .lesli
Шаблон: .email[supl@post.com]id[\[[a-z0-9]{16}\]].lesli
Записка: INSTRUCTION RESTORE FILE.TXT
Email: supl@post.com, supl@oath.com
Результаты анализов: VT, HA

Обновление от 23 января 2017:
Пост в Твиттере >>
Файлы: Microsoft Decryptor Ransomware.exe
Фальш-имя: Security SoftWare Shield
Расширение: .email_id.rdmk или .email[email_ransom]_id[id_ransom].rdmk
Пример зашифр. файла: *filename*.email[*email*]_id[*id*].rdmk
Записка: INSTRUCTION RESTORE FILE.txt
Email: supls@post.com, supls@oath.com
Результаты анализов: VT

Обновление 31 января 2017:
CryptoMix > CryptoShield 1.0

Обновление 14 февраля 2017:
CryptoMix > CryptoShield 2.0

Обновление 14 февраля 2017:

CryptoMix > MOLE
Пост в Твиттере >>
Записка: INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT
<< Скриншот записки
Расширение .MOLE
Email: oceanm@engineer.com, oceanm@india.com
Шаблон зашифрованного и переименованного файла: <random_hex [0-9, A_Z] {32}>.MOLE
Пример зашифрованного и переименованного файла: 0AB5F30F23AB8B8AC537A07123C45066.MOLE
Аналогичная схема присвоения имен и поддельные оповещения как у CryptoMix.

Обновление от 17 июля 2017: 
Пост в Твиттере >>
Файлы: <random>.exe
Фальш-имя: InfoVxtreme
Расширение: .CK
Записка: _HELP_INSTRUCTION.TXT
Email: ck01@techmail.info, ck02@decoymail.com, ck03@protonmail.com
Результаты анализов: VT
См. статью CK Ransomware >>

Обновление от 28 июля 2017:
Пост в Твиттере >>
Расширение: .ZERO
Записка: _HELP_INSTRUCTION.TXT
Email: zero@hook.work
Результаты анализов: HA+VT, +VT

Обновление от 28 июля 2017:
Пост в Твиттере >>
Расширение: .DG
Файл: Labs.exe
Записка: _HELP_INSTRUCTION.TXT
Результаты анализов: VT
Hello!
Содержание записки: 
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your id number:
dg01@msgden.net
dg02@armormail.net
dg01@protonmail.com
We will help you as soon as possible!
DECRYPT-ID-********** number

Обновление от 24 августа 2017: 
Пост в Твиттере >>
Расширение: .EMPTY
На файле написано: RacePostings
Результаты анализов: VT
<< Скриншот записки
См. статью CryptoMix-Empty Ransomware >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для некоторых оффлайн вариантов CryptoMix есть дешифровщик
Поддериваются варианты с расширениями: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl, .MOLE
Скачайте дешифровщик от Avast по этой ссылке >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoMix, CryptoMix Wallet, CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Marcelo Rivero, BleepingComputer
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.


CryptoHost

CryptoHost Ransomware

ManameCrypt Ransomware

(фейк-шифровальщик, rar-вымогатель)


   Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,33 биткоинов, чтобы вернуть файлы обратно. Активность этого криптовымогателя пришлась на март-апрель 2016 г. Другие названия: ManameCryptROI Locker.

В реальности данные не шифруются, а копируются в защищенный паролем RAR-архив. К счастью, пароль легко обнаруживается, таким образом пострадавшие могут получить свои файлы обратно. Подробнее в статье GDATA

Пароль для файла RAR состоит из следующих компонентов:

SHA1Hash(Win32_processor.processorID + VolumeSerialNumber_Volume_C + Win32_BaseBoard.SerialNumber) + username

Эта инфекция определяется как Ransom:MSIL/Manamecrypt.A [Microsoft] или Ransom_CRYPTOHOST.A. [Trend Micro]

Запиской с требованием выкупа выступает скринлок:

Содержание записки о выкупе из главного окна блокировщика:
Your Computers Files have been Encrypted and Locked!
Your files have been encrypted and are unuseable and inaccessable.
Don't worry, they're safe, for now.
This is unfortunate although for a small fee all of your Files will be returned to their original location as if nothing ever happened.
Simply pay the recovery fee stated on this form and follow the instructions.
Once the payment has been received your Files will be returned to normal.
Not paying the Unlock Fee to the supplied Bitcoin Address before the Timer runs out means loss of all Files permenantly.
The only payment accepted is Bitcoin. If you don't know what Bitcoin is there are instructions on how to obtain Bitcoin and pay the Fee.
Just press the "How It Works" Button below to learn how Bitcoin works.
This software checks the Bitcoin Network for the exact payment amount on the Bitcoin address provided. Once the amount is confirmed by clicking
"Confirm Payment" your files will be returned to their original locations.
Removing this software causes permanent loss of your files!
This software is the only way to get your files back!

Перевод записки на русский язык:
Ваши компьютерные файлы зашифрованы и заперты!
Ваши файлы были зашифрованы, непригодны для использования и недоступны.
Не волнуйтесь, они безопасны, пока.
Это печально, но за небольшую плату все ваши файлы будут возвращены на прежнее место, как ничего не случилось.
Просто оплатите указанную в этой форме стоимость восстановления и следуйте инструкциям.
После получения компенсации ваши файлы будут возвращены в нормальное состояние.
Неполученная  в срок по таймеру на Bitcoin-адрес плата приведет к потере всех файлов.
К оплате берутся только Bitcoin. Если не знаете, что такое Bitcoin, есть инструкции, как получить Bitcoin и заплатить выкуп.
Просто нажмите кнопку "How It Works" ниже, чтобы узнать, как работает Bitcoin.
Эта программа проверяет наличие точной суммы в биткоинах на Bitcoin-адресе. После подтверждения оплаты нажать
"Confirm Payment" и ваши файлы будут возвращены на прежнее место.
Удаление этой программы приводит к полной потере ваших файлов!
Эта программа единственный способ получить ваши файлы обратно!


Экран проверки оплаты из кнопки "Check Payment Status"
Экран из кнопки "How it Works"

Блокировщик имеет четыре подэкрана с дополнительной информацией, два из них приведены выше. 



Технические детали

Распространяется с помощью email-спама и вредоносных вложений, через ПО с мошеннических сайтов, через P2P-приложения и в комплекте с инсталлятором Utorrent.

Когда CryptoHost заражает систему пользователя, он перемещает его файлы в защищенный паролем RAR-архив, который находится в C:\Users\[username]\AppData\Roaming folder.

Например: 
C:\Users\Test\AppData\Roaming\3854DE6500C05ADAA539579617EA3725BAAE2C57

Этот файл получает имя из 41 символа и без расширения. Имя архива будет SHA1 хешем следующей информации:
processorId + volume_serial_number_of_c: + motherboard_serial_number


Пароль для этого архива будет в форме SHA1 хэша + имя пользователя. Поэтому, если хэш SHA1 составляет 3854DE6500C05ADAA539579617EA3725BAAE2C57, а у пользователя имя Test, то пароль будет 3854DE6500C05ADAA539579617EA3725BAAE2C57Test.

При первом запуске CryptoHost пытается удалить раздел реестра HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot, чтобы не дать пользователю загрузить систему в Safe Mode. К счастью, процесс cryptohost.exe не работает под требуемыми привилегиями, которые нужны, чтобы удалить этот ключ.

CryptoHost также будет следить за названиями рабочих процессов и установленных в системе антивирусных программ. Список названий и строк, которые отслеживаются вредоносом:
anti virus, anti-virus, antivirus, avg, bitdefender, eset, mcafee, dr.web, f-secure, internet security, obfuscator, debugger, monitor, registry, system restore, kaspersky, norton, ad-aware, sophos, comodo, avira, bullguard, trend micro, eset, vipre, task manager, system configuration, registry editor, game, steam, lol, rune, facebook, instagram, youtube, vimeo, twitter, pinterest, tumblr, meetme, netflix, amazon, ebay, shop, origin

Как восстановить заблокированные файлы? 
Запустите диспетчер задач комбинацией клавиш Ctrl+Alt+Del, на вкладке "Процессы" выберите и завершите процесс cryptohost.exe
Разархивируйте "зашифрованный" архив в папку с таким же названием и на запрос о пароле введите добытый выше ваш персональный пароль. Ваши файлы будут распакованы и восстановлены. Дальше можете поступать с ними как вам угодно.

Список файловых расширений, подвергающихся блокировке:
 .3g2, .3gp, .7z, .asf, .avi, .doc, .docx, .flv, .gif, .jpeg,.jpg, .m4v, .mov, .mp4, .mpeg, .mpg, .pdf, .png, .ppd, .pps, .ppt, .pptx, .psd, .qt, .rm, .tiff, .txt, .wmv, .wpd, .wps, .xlr, .xls, .xlsl, .zip

Файлы, связанные с Ransomware:
%Temp%\uTorrent.exeuTorrent.exe
%AppData%\cryptohost.exe - копия исполняемого файла
%AppData%\processor.exe - инструмент командной строки WinRAR
%AppData%\files - список файлов с зашифрованными файлами

%AppData%\[Encrpted_RAR_with_generic_name]

Записи реестра, связанные с Ransomware:
HKCU\Software\Classes\FalconBetaAccount
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\software    %AppData%\cryptohost.exe
HKCU\Software\VB and VBA Program Settings\software\setting\

Т.к. файлы всё же не шифруются, то я отношу CryptoHost Ransomware к фейк-шифровальщикам

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Write-up, Write-up
 * 
 Thanks: 
 Lawrence Abrams
 TrendMicro
 Microsoft
 G DATA
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 4 апреля 2016 г.

CryptoBit

CryptoBit Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 1-2 биткоина или больше, чтобы вернуть файлы. Название оригинальное. Параллельно распространялась другая версия этого крипто-вымогателя, которая описана у нас под названием Mobef Ransomware, но несмотря на возможное родство, имеются различия технического и визуального характера. 

© Генеалогия: Booyah (Salam!) ⇔ CryptoBit ⟺ Mobef  (см. Генеалогия)

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на апрель 2016 г. Также замечен в ряде вредоносных кампаний лета 2016 года (июнь-июль). Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Не путайте с CryptorBit из 2014 года!

Записки с требованием выкупа называются по разному. В данной статье это:
OKSOWATHAPPENDTOYOURFILES
helloreadmenow23.TXT
helloreadmenow24.TXT
Содержание записки о выкупе:
Your ID: 589*****
***
Hi. Your files are now encrypted. I have the key to decrypt them back.
I will give you a decrypter if you pay me. If you pay me today, the price is only 1 bitcoin.
If you pay me tomorrow, you will have to pay 2 bitcoins. If you pay me one week later the price will be 7 bitcoins and so on. So, hurry up.
Contact me using this email address: torrenttracker@india.com
If you don't get a reply or if the email dies, then contact me using Bitmessage:
download it form here
***github.eom/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe
Run it, click New Identity and then send me a message at BM-NBvzKEY***

Перевод записки на русский язык:
Ваш ID: 589*****
***
Привет. Ваши файлы теперь зашифрованы. У меня есть ключ для дешифровки их обратно. Я дам вам декриптер, если вы заплатите мне. Если вы платите мне сегодня, цена будет всего 1 биткоин.
Если вы платите мне завтра, вам придется заплатить 2 биткоина. Если вы платите мне через неделю, цена будет 7 битконов и так далее. Итак, поторопитесь.
Свяжитесь со мной, используя этот адрес email: torrenttracker@india.com
Если вы не получите ответа или если email закроют, то свяжитесь со мной, используя Bitmessage:
загрузите его здесь
***github.eom/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe
Запустите его, нажмите кнопку "New Identity", а затем отправьте мне сообщение на BM-NBvzKEY***

Последующее развитие привело к изменению информационной составляющей вымогательского процесса. 


Содержание текстовых записок поменялось:
ID:[six_or_seven-digit number in the 900,000 or 7,000,000 range]
PC:[host name]
USER:[user name]
IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE EMAIL ME AT:
epiclesis@protonmail.ch + kyklos@scryptmail.com + malakia@opemnailbox.org + sycophant@sigaint.org
Send an email to all these addresses, just in case, sometimes emails get lost.
Don't forget to check your spam/junk folder later, most likely my reply will end up there.
If you want to remain anonymous or if you aren't getting a reply, please try using bitmessage (bitmessage.org) and use this address to contact me: BM-NAxZ29ouecw2Y7ibaXKuslvxDRDfhew6. This method will work 100%.
Encrypted files LOG: C:\users\(user name]\Documents\[six_or_seven-digit number].log

Перевод на русский язык:
ID: [6-7-значное число в диапазоне 900.000 или 7.000.000]
PC: [имя хоста]
USER: [имя пользователя]
Если вы хотите получить все файлы обратно, пожалуйста, напишите мне по адресу:
epiclesis@protonmail.ch + kyklos@scryptmail.com + malakia@opemnailbox.org + sycophant@sigaint.org
Отправьте по email на все эти адреса, на всякий случай, иногда письма теряются.
Не забудьте проверить папку спам/нежелательные, позже, скорее всего, мой ответ окажется там.
Если вы хотите сохранить анонимность, или если вы не получаете ответ, пожалуйста, попробуйте использовать bitmessage (bitmessage.org) и этот адрес для контакта со мной: BM-NAxZ29ouecw2Y7ibaXKuslvxDRDfhew6. Этот метод будет работать на 100%.
Зашифрованные файлы LOG: C:\users\(user name]\Documents\[6-7-значное число].log

Распространяется с помощью email-спама и вредоносных вложений, веб-инжектов и эксплойтов (RIG и др.), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

CryptoBit, попав на компьютер, первым делом проверяет по своему запрещающему списку языки клавиатуры. При использовании пользователем одного из определённых кодов языков (0x1a7, 0x419 – русский или 0x43f — казахский), шифрование файлов прерывается. Если языки клавиатуры не входят в этот список, то CryptoBit производит по всем локальным дискам, сетевым папкам и съёмным устройствам (USB) поиск целевых файлов и производит их шифрование. 

После шифрования AES-ключа с помощью RSA, он будет храниться в файле "sekretzbel0ngt0us.KEY" (в разных версиях названия другие), и будет понятен только при наличии соответствующего закрытого ключа RSA.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .4db, .4dd, .7zip, .accdb, .accdt, .aep, .aes, .arj, .bpw, .cdr, .cer, .crp, .crt, .csv, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .eml, .fdb, .gdb, .gho, .gpg, .gxk, .idx, .ifx, .iso, .jpg, .kdb, .kdbx, .key, .ksd, .max, .mdb, .mdf, .mpd, .mpp, .myo, .nba, .nbf, .nsf, .nv2, .odb, .odp,.ods, .odt, .ofx, .p12, .pdb, .pdf, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptx, .prproj, .psd, .psw, .qba, .qbb, .qbo, .qbw, .qfx, .qif, .rar, .raw, .rtf, .saj, .sdc, .sdf, .sko, .sql, .sxc, .tar, .tax, .tbl, .tib, .txt, .wdb, .xls, .xlsm, .xlsx, .xml, .zip  (96 расширений). 
Это документы MS Office, OpenOffice, PDF, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.tmp.exe
<random>.exe
OKSOWATHAPPENDTOYOURFILES.TXT
sekretzbel0ngt0us.KEY
helloreadmenow23.TXT, helloreadmenow24.TXT и пр., цифры по дате
HITLERSNASTYLITTLECRYPTEROMGWTFHELP.KEY23 - цифры по дате
HITLERSNASTYLITTLECRYPTEROMGWTFHELPOHNOES.KEY24 - цифры по дате

Ещё файлы (для Mobef и CryptoBit):
[date]-INFECTION.txt
[date]-INFECTIONE.txt
[date]000.KEY
1NFORMAT1ONFOR.YOU
ENCRYPT1ON.KEY+[1-2-3-digit_number]
[10-digits].KEY 
INSTRUCTIONS.MSG1
INSTRUCTIONS.MSG23

INSTRUCTIONS.MSG31
HELLOREADME+[random_number_1-31].TXT
HELLOWREADME+[random_number_1-31].TXT
helloreadmenow+[random_number_1-31].TXTZ
HITLERSLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERSNASTYLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERHASYOURFILES.KEY+[1-2-3-digit_number]

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
realstatistics.info
kjyrxilohcowy.dyndns.org
smobutdobesy.dyndns.org
laoismacau.com
videodrome69.net***
bitmessage.org
torrenttracker@india.com
epiclesis@protonmail.ch
kyklos@scryptmail.com
kyklos@lelantos.org
malakia@opemnailbox.org
malakia@anoninbox.net
sycophant@sigaint.org
BM-NAxZ29ouecw2Y7ibaXKus1vxDRDfheW6

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up + Write-up
 ID Ransomware (ID Mobef)
 Write-up
 *
 *
 Thanks: 
 PandaSecurity
 PaloAltoNetworks
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 2 апреля 2016 г.

7ev3n-HONE$T

7ev3n-HONE$T Ransomware


(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 1 Bitcoin (400 USD), чтобы вернуть файлы обратно. Название происходит от видоизмененного слова HONE$T (англ. Honest - "честный") - ЧЕ$ТНЫЙ. 

© Генеалогия: 7ev3n > 7ev3n-HONE$T

К зашифрованным файлам добавляется расширение .R5A

  7ev3n-HONE$T является обновленной версией 7ev3n Ransomware. Пострадавшие от этой версии могут заплатить половину выкупа, чтобы вернуть себе контроль над половиной своих зашифрованных файлов. Активность этого крипто-вымогателя пришлась на апрель 2016 г. Распространяется с помощью email-спама и вредоносных вложений. 

  Записка с требованием выкупа называется: FILES_BACK.txtК ней добавляется экран блокировки. 

Содержание записки о выкупе: 
HI, YOUR PERSONAL FILES WERE ENCRYPTED BY 7ev3n-HONE$T
All your photos, media, documents, databases, MS Office and other important files were encrypted with strong algorithm.
Decryption price 1.0 bitcoin (400 USD)
Unique bitcoin address for payment was generated only for you: -
File decryption process is completely automated! The process is “PAY-DECRYPT”.
1. The list of encrypted files are available by click on “VIEW”.
2. You are able to decrypt 3-5 files free of charge. The choice is random. Therefor click on “TEST DECRYPT”.
3. You are able to decrypt the half (50%) of the files, therefor pay 0.6 BTC (240 USD) to unique address specified above the program will randomly choose the half of the files and decrypt them. Sine then you can pay additional 0.6 BTC (240 USD) and the program will decrypt the rest of the files. If you pay the total amount (1.0) at one you get 20% discount.
4. Confirmation of one transaction takes 30 minutes or less. The process of files decryption and self-deleting is automated. Decryption process takes 1-3 hours based on the amount of encrypted files, decryption speed is 7 Gb/hr.
5. To get keys and start decrypting process after payment, please ensure that your internet-connection is active!
6. If you don’t know that are bitcoins, how to purchase and use them click on “How to Pay”.
Don’t try to delete the program, any delete actions will be resulted in irrecoverable loss of your files. Don’t try to change file names and their extensions. Don’t enable Antivirus of Firewall software. The only way to recover access to your files is to pay for decryption process. Encryption algorithm is invincible. There are no third programs for this algorithm decryption and there would not be any.
Attention! you have to pay within 72 hours. If the payment is not performed, private key will be destroyed and files will be lost.

Перевод записки на русский язык: 
Привет, ваши личные файлы были зашифрованы 7ev3n-HONE$T
Все ваши фото, медиа, документы, базы данных, MS Office и другие важные файлы зашифрованы с сильным алгоритмом.
Дешифровка стоит 1,0 Bitcoin (400 USD)
Уникальный Bitcoin-адрес для оплаты был создан для вас: ***
Процесс дешифровки полностью автоматизирован! Называется "PAY-DECRYPT".
1. Перечень зашифрованных файлов откроется, при нажатии на "VIEW".
2. Можно дешифровать 3-5 файлов бесплатно. Выбор случайный. Для этого нажмите на "TEST DECRYPT".
3. Можно дешифровать половину (50%) файлов, и платить 0,6 BTC ($240 США) на уни-адрес выше. Программа случайным образом выберет половину файлов и дешифрует их. Позже можете доплатить еще 0,6 BTC ($240 США), и программа дешифрует остальные файлы. Если вы платите полную сумму (1.0 BTC) сразу, то получаете 20% скидку.
4. Подтверждение одной сделки занимает 30 минут или меньше. Процесс дешифровки файлов и самостирания автоматизирован. Процесс дешифровки занимает 1-3 часа, в зависимости от количества зашифрованных файлов, скорость дешифровки 7 Гб / час.
5. Для того, чтобы получить ключи и начать процесс дешифровки после оплаты, пожалуйста, убедитесь, что интернет подключен!
6. Если вы не знаете, что такое Bitcoin, как приобрести и использовать их, нажмите на "How to Pay".
Не пытайтесь удалить программу, любые действия по удалению приведут в безвозвратной потере ваших файлов. Не пытайтесь изменить имена файлов и их расширения. Не включайте антивирус и брандмауэр. Единственный способ восстановить доступ к файлам — заплатить за дешифровку. Алгоритм шифрования непобедим. Нет третьей программы для дешифровки этого алгоритма и не будет.
Внимание! Вы должны заплатить за 72 часа. Если оплата не поступит, закрытый ключ будет уничтожен, а файлы будут потеряны.

  Шифруя данные 7ev3n-HONE$T переименовывает файлы в папках согласно цифровому порядку, добавляя к ним расширение .R5A. Например, если папка содержит 10 разных файлов, то вымогатель будет шифровать и переименовать все файлы в 1.R5A, 2.R5A, 3.R5A ... 10.R5A. После этого 7ev3n-HONE$T добавляет имя зашифрованного файла в файл C:\Users\Public\files.

  Закончив шифрование данных крипто-вымогатель подключается к C&C-серверу и загружает на него различную информацию и статистические данные. Передаваемая информация включает назначенный жертве Bitcoin-адрес, общее количество зашифрованных файлов, количество расширений каждого типа файлов, и уникальный идентификатор. C&C-сервер расположен на IP-адресе 46.45.169.106 (Turkey Istanbul Radore Veri Merkezi Hizmetleri As / AS197328).

Когда это сделано, в каталоге C:\Users\Public будут находиться следующие файлы:
C:\Users\Public\conlhost.exe - исполняемый файл крипто-вымогателя;
C:\Users\Public\files - список зашифрованных файлов;
C:\Users\Public\FILES_BACK.txt - альтернативный метод связи с разработчиком;
C:\Users\Public\testdecrypt - список файлов, которые могут быть бесплатно расшифрованы;
C:\Users\Public\time.e - метка времени, когда крипто-вымогатель зашифровал файлы.

  Экран крипто-вымогателя разбивается на четыре разных окна. Первое окно — основной экран блокировки, отображает записку и Bitcoin-адрес для выкупа. Второе окно позволяет выполнить тестовую дешифровку 3-5 файлов. На третьем отображается список всех зашифрованных файлов. Четвертое сообщает о том, как заплатить выкуп.

 
 

Список файловых расширений, подвергающихся шифрованию: 
Вероятно тот же, что и у предыдущей версии: .accdb, .arw, .dbf, .doc, .docm, .docx, .jpe, .jpeg, .jpg, .mdb, .mdf, .odb, .odm, .odp, .ods, .pdf, .rar, .sql, .txt, .xlsb, .xlsm, .xlsx, .zip (23 расширения). 

Файлы, связанные с 7ev3n-HONE$T Ransomware: 
C:\Users\Public\conlhost.exe
C:\Users\Public\files
C:\Users\Public\FILES_BACK.txt
C:\Users\Public\testdecrypt
C:\Users\Public\time.e
%Temp%\fpnzzre

Записи реестра, связанные с 7ev3n-HONE$T Ransomware: 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\allkeeper    C:\users\Public\conlhost.exe
HKCU\Software\crypted    1
HKCU\Software\testdecrypt    1




Используйте на свой страх и риск. 

Степень распространённости: низкая. 
Подробные сведения собираются.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *