Jigsaw Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $150 USD или 0.4 BTC, чтобы вернуть файлы. Оригинальное название: JigsawRansomware, BitcoinBlackmailer. На файле написано: BitcoinBlackmailer.exe
© Генеалогия: Jigsaw. Начало > CryptoHitman
Этимология названия:
Вымогатель получил свое название в честь культового персонажа из фильма ужасов "Пила". на экране показывается эпатажное изображение "куклы Билли" из этого фильма.
К зашифрованным файлам добавляется расширение .fun
Другие расширения, использованные этим крипто-вымогателем в течении ближайших дней:
.btc - от 12 апреля 2016
.kkk - от 12 апреля 2016
.gws - от 13 апреля 2016
Позже Jigsaw стал использовать следующие расширения:
.porno
.payransom
.payms
.paymst
.AFD
.paybtcs
.epic
.xyz - от 29 июля 2016
.encrypted
.hush
.paytounlock
.uk-dealer@sigaint.org
.gefickt
.nemo-hacks.at.sigaint.org
Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных, португалоязычных, испаноязычных, немецкоязычных и пр. пр. пользователей, что помогает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки.
Начальная и конечная части эпатажного требования о выкупе
Анимированное изображение всего процесса
Содержание текста может различаться не только в зависимости от версии или страны распространения, но и от того, где пострадавший подцепил эту штуку.
Содержание текста о выкупе (1-й вариант):
Your computer files have been encrypted. Your photos, videos, documents, etc....
But, don't worry! I have not deleted them, yet.
You have 24 hours to pay 150 USD in Bitcoins to get the decryption key.
Every hour files will be deleted. Increasing in amount every time.
After 72 hours all that are left will be deleted.
If you do not have bitcoins Google the website localbitcoins.
Purchase 150 American Dollars worth of Bitcoins or .4 BTC. The system will accept either one.
Send to the Bitcoins address specified.
Within two minutes of receiving your payment your computer will receive the decryption key and return to normal.
Try anything funny and the computer has several safety measures to delete your files.
As soon as the payment is received the crypted files will be returned to normal.
Thank you
Перевод текста на русский язык:
Твои компьютерные файлы были зашифрованы. Твои фотографии, видео, документы и т.д....
Но, не волнуйся! Я ещё не удалил их.
У тебя есть 24 часа, чтобы заплатить 150$ в биткоинах, чтобы получить ключ дешифрования.
Каждый час файлы будут удаляться. Количество увеличится каждый раз.
Через 72 часа все оставшиеся будут удалены.
Если у тебя нет биткоинов гугли сайт localbitcoins.
Купи на 150$ США биткоины или 0.4 BTC. Система примет любой из них.
Отправь на указанный биткоин-адрес.
В течение двух минут после получения платежа твой компьютер получит ключ дешифрования и вернётся в нормальное состояние.
Попробуешь что-то смешное и на компьютере есть несколько способов для удаления твоих файлов.
Как только будет получен платеж, зашифрованные файлы будут возвращены в нормальное состояние.
Cпасибо
======
Содержание текста о выкупе (2-й вариант):
I want to play a game with you. Let me explain the rules:
All your files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access them.
Every hour I select some of them to delete permanently,
therefore I won't be able to access them, either.
Are you familiar with the concept of exponential growth? Let me help you out.
It starts out slowly then increases rapidly.
During the first 24 hour you will only lose a few files,
the second day a few hundred, the third day a few thousand, and so on.
If you turn off your computer or try to close me, when I start next time
you will get 1000 files deleted as a punishment.
Yes you will want me to start next time, since I am the only one that
is capable to decrypt your personal data for you.
Now, let's start and enjoy our little game together!
Перевод текста на русский язык:
Я хочу сыграть с тобой. Позволь мне объяснить правила:
Все твои файлы удаляются. Твои фотографии, видео, документы и т.д.
Но, не волнуйся! Это произойдет, только если ты откажешься.
Однако я уже зашифровал твои личные файлы, поэтому ты не сможешь получить к ним доступ.
Каждый час я выбираю некоторые из них для удаления навсегда,
поэтому я не смогу получить к ним доступ.
Ты знаком с концепцией экспоненциального роста? Позвольте мне помочь вам.
Она медленно начинается, а затем быстро увеличивается.
В течение первых 24 часов ты потеряешь только несколько файлов,
на второй день - несколько сотен, на третий день - несколько тысяч и т.д.
Если ты выключишь компьютер или попытаешься закрыть меня, то когда я запущусь в следующий раз, то ты потеряешь 1000 файлов, удалённых в наказание.
Да, ты сам захочешь, чтобы я запустился в следующий раз, т.к. я единственный, кто может расшифровать твои личные данные для тебя.
Теперь давай начнём и насладимся нашей маленькой игрой вместе!
======
Содержание текста о выкупе (3-й вариант):
Eu quero jogar um jogo. Deixe-me explicar as regras:
Todos os seus arquivos serao deletados. Fotos, vídeos, documentos, etc.
Mas nao se preocupe! Só vai acontecer se voce nao cooperar.
Porém, eu já encriptei seus arquivos, entao voce nao consegue mais acessá-los.
A cada hora eu seleciono algum deles para ser excluído permanentemente,
Voce conhece o conceito de crescimento exponencial? Funciona assim:
Começa devagar e acelera depressa
Nas primeiras 24h voce só perderá alguns arquivos
No segundo dia, algumas centenas, no teceiro, milhares, e assim vai
Se voce desligar seu computador ou tentar me fechar
1.000 (MIL) arquivos serao deletados como puniçao
E voce vai querer que eu continue aqui,
já que sou o único que pode devolver seus arquivos
Agora, vamos jogar!
Envie 50 dólares (aproximadamente R$200) em bitcoins para o endereço abaixo
(Se voce nao sabe comprar e enviar bitcoins, procure no Google. É fácil)
Перевод текста на русский язык:
Я хочу сыграть в игру. Позволь мне объяснить правила:
Все твои файлы будут удалены. Фотографии, видео, документы и т.д.
Но не волнуйся! Это произойдет, только если ты не будешь сотрудничать.
Тем не менее, я уже зашифровал твои файлы, поэтому ты не сможешь их получить.
Каждый час я выбираю некоторые из них, чтобы удалить навсегда.
Ты знаешь концепцию экспоненциального роста? Она работает так:
Медленно начинается и быстро ускоряется.
В первые 24 часа ты потеряешь только некоторые файлы.
На второй день - несколько сотен, на третий - тысячи и так далее.
Если ты выключишь компьютер или попробуешь закрыть меня, то в наказание будут удалены 1000 файлов.
И ты захочешь, чтобы я остался здесь, т.к. я единственный, кто может вернуть твои файлы
Теперь давай играть!
Отправь 50$ (приблизительно 200 R$) в биткоинах по адресу ниже
(Если ты не знаешь, как покупать и отправлять биткоины, или в Google).
---
200 R$ - это 200 бразильских реалов.
Сообщения и изображение призваны запугать пользователя, заставляя заплатить выкуп. Если выкуп не поступает в течении часа, часть файлов удаляется и через час отсчет времени начинается заново. Исследователи выяснили, что удаляется первая тысяча файлов, затем вторая...
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Когда Jigsaw запускается в первый раз, то он сканирует диски жертвы для поиска определенных расширений файлов, затем шифрует их с использованием алгоритма AES, и добавляет расширение .fun (или одно из новых) к имени файла.
При шифровании файлов вредонос:
- добавляет имя файла в список зашифрованных файлов EncryptedFileList, расположенный в директории \System32Work\EncryptedFileList.txt ;
- назначает адрес Bitcoin для уплаты выкупа за файлы и сохраняет его в файл %UserProfile%\AppData\Roaming\System32Work\Address.txt ;
- прописывается в автозапуск, чтобы запускаться с Windows.
Более того, при каждом запуске системы Jigsaw удаляет 1000 зашифрованных файлов.
Если в назначенный час количество поступивших на биткоин-адрес вымогателя биткоинов равно или больше требуемой суммы, то вымогатель будет автоматически расшифровывать файлы.
Список файловых расширений, подвергающихся шифрованию:
.1pa, .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .cal, .cdr, .cdt, .cdx, .cgn, .class, .clk, .cmx, .cnt, .cpp, .cpt, .cpx, .cs, .csl, .csv, .cur, .dat, .db, .dbf, .des, .des, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsf, .dwg, .dwg.eps, .dxf, .efx, .eps, .fim, .fla, .flv, .fmv, .fpx, .fx0, .fx1, .fxr, .gem, .gif, .h, .idml, .iff, .iif, .img, .indb, .indd, .indl, .indt, .ini, .inx, .jar, .java, .jpeg, .jpg, .js, .lgb, .m3u, .m3u8, .m4u, .mac, .max, .mdb, .met, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .mx0, .nap, .nd, .pat, .pcd, .pct, .pcx, .pdb, .pdf, .pfb, .php, .pic, .plb, .plt, .pmd, .png, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prn, .prn, .prproj, .ps, .psd, .psp, .ptb, .py, .qba, .qbb, .qbi, .qbm, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qpd, .qsm, .qss, .qst, .qwc, .ra, .rar, .raw, .rb, .rif, .rtf, .rtp, .sct, .sdf, .ses, .set, .shw, .sldm, .sldx, .sql, .svg, .swf, .tga, .tif, .tiff, .tlg, .tlg, .ttf, .txt, .v30, .vcf, .vob, .vsd, .wav, .wi, .wk3, .wk4, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .xcf, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .zip (206 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
BitcoinBlackmailer.exe
firefox.exe
drpbx.exe
Address.txt
EncryptedFileList.txt
Расположения:
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Когда Jigsaw запускается в первый раз, то он сканирует диски жертвы для поиска определенных расширений файлов, затем шифрует их с использованием алгоритма AES, и добавляет расширение .fun (или одно из новых) к имени файла.
При шифровании файлов вредонос:
- добавляет имя файла в список зашифрованных файлов EncryptedFileList, расположенный в директории \System32Work\EncryptedFileList.txt ;
- назначает адрес Bitcoin для уплаты выкупа за файлы и сохраняет его в файл %UserProfile%\AppData\Roaming\System32Work\Address.txt ;
- прописывается в автозапуск, чтобы запускаться с Windows.
Более того, при каждом запуске системы Jigsaw удаляет 1000 зашифрованных файлов.
Если в назначенный час количество поступивших на биткоин-адрес вымогателя биткоинов равно или больше требуемой суммы, то вымогатель будет автоматически расшифровывать файлы.
Список файловых расширений, подвергающихся шифрованию:
.1pa, .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .cal, .cdr, .cdt, .cdx, .cgn, .class, .clk, .cmx, .cnt, .cpp, .cpt, .cpx, .cs, .csl, .csv, .cur, .dat, .db, .dbf, .des, .des, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsf, .dwg, .dwg.eps, .dxf, .efx, .eps, .fim, .fla, .flv, .fmv, .fpx, .fx0, .fx1, .fxr, .gem, .gif, .h, .idml, .iff, .iif, .img, .indb, .indd, .indl, .indt, .ini, .inx, .jar, .java, .jpeg, .jpg, .js, .lgb, .m3u, .m3u8, .m4u, .mac, .max, .mdb, .met, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .mx0, .nap, .nd, .pat, .pcd, .pct, .pcx, .pdb, .pdf, .pfb, .php, .pic, .plb, .plt, .pmd, .png, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prn, .prn, .prproj, .ps, .psd, .psp, .ptb, .py, .qba, .qbb, .qbi, .qbm, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qpd, .qsm, .qss, .qst, .qwc, .ra, .rar, .raw, .rb, .rif, .rtf, .rtp, .sct, .sdf, .ses, .set, .shw, .sldm, .sldx, .sql, .svg, .swf, .tga, .tif, .tiff, .tlg, .tlg, .ttf, .txt, .v30, .vcf, .vob, .vsd, .wav, .wi, .wk3, .wk4, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .xcf, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .zip (206 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
BitcoinBlackmailer.exe
firefox.exe
drpbx.exe
Address.txt
EncryptedFileList.txt
Расположения:
C:\Users\User\AppData\Roaming\Frfx\firefox.exe - копия исп. файла
C:\Users\User\AppData\Local\Drpbx\drpbx.exe - копия исп. файла
%UserProfile%\AppData\Roaming\Frfx\
%UserProfile%\AppData\Roaming\Frfx\firefox.exe - копия исп. файла
%UserProfile%\AppData\Local\Drpbx\
%UserProfile%\AppData\Local\Drpbx\drpbx.exe - копия исп. файла
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt
%UserProfile%\AppData\Roaming\Frfx\firefox.exe - копия исп. файла
%UserProfile%\AppData\Local\Drpbx\
%UserProfile%\AppData\Local\Drpbx\drpbx.exe - копия исп. файла
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt
Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe %UserProfile%\AppData\Roaming\Frfx\firefox.exe
См. ниже результаты анализов.
Сетевые подключения и связи:
1fichier.com***
btc.blockr.io***
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >> HA+>>
VirusTotal анализ >>
Степень распространённости: средняя, но и перспективно высокая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 11 мая 2016:
См. статью CryptoHitman Ransomware
Обновление от...
См. статью...
Обновлённый список используемых расширений (по алфавиту):
.afc, .AFD,
.afc, .AFD,
.beep, .btc,
.Contact_TarineOZA@Gmail.com_, .crypte, .Crypto,
.die,
.encrypted, .epic,
.fun,
.game, .gefickt, .getrekt, .ghost, .gws,
.hush,
.ice, .ini, .I'WANT MONEY,
.jey,
.kill, .kkk, .korea,
.lckd, .locked, .Locked, .lost,
.nemo-hacks.at.sigaint.org,
.pabluk300CrYpT!, .pablukCRYPT, .pabluklocker, .PAY, .paybtcs, .paym, .paymds, .paymrss, .paymrts, .payms, .paymst, .paymts, .payransom, .payrms, .payrmts, .pays, .paytounlock, .porno, .pornoransom,
.R3K7M9, .ram, .rat,
.sux,
.tax, .To unlock your files send 0.15 Bitcoins to 1P67AghL2mNLbgxLM19oJYXgsJxyLfcYiz within 24 hours 0.20 after 24 hours,
.uk-dealer@sigaint.org,
.versiegelt,
.xyz
.Contact_TarineOZA@Gmail.com_, .crypte, .Crypto,
.die,
.encrypted, .epic,
.fun,
.game, .gefickt, .getrekt, .ghost, .gws,
.hush,
.ice, .ini, .I'WANT MONEY,
.jey,
.kill, .kkk, .korea,
.lckd, .locked, .Locked, .lost,
.nemo-hacks.at.sigaint.org,
.pabluk300CrYpT!, .pablukCRYPT, .pabluklocker, .PAY, .paybtcs, .paym, .paymds, .paymrss, .paymrts, .payms, .paymst, .paymts, .payransom, .payrms, .payrmts, .pays, .paytounlock, .porno, .pornoransom,
.R3K7M9, .ram, .rat,
.sux,
.tax, .To unlock your files send 0.15 Bitcoins to 1P67AghL2mNLbgxLM19oJYXgsJxyLfcYiz within 24 hours 0.20 after 24 hours,
.uk-dealer@sigaint.org,
.versiegelt,
.xyz
Новые см. ниже.
Внимание! Для зашифрованных файлов есть декриптер Скачать JigsawDecrypter для дешифровки >> Он регулярно обновляется под новые версии ***
Read to links: ID Ransomware (ID as Jigsaw) Write-up, Topic of Support, Mass media, Malekal's forum 🎥 Video review
Thanks: Lawrence Abrams, Michael Gillespie MalwareHunterTeam * *
© Amigo-A (Andrew Ivanov): All blog articles.