Если вы не видите здесь изображений, то используйте VPN.

вторник, 12 апреля 2016 г.

PowerWare

PowerWare Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES (CBC-режим), а затем требует посетить Tor-сайт вымогателей, чтобы ознакомиться с инструкциями, заплатить выкуп $500 в биткоинах, чтобы вернуть файлы. Через неделю после шифрования сумма удваивается до $1000. Шифрование выполняется, используя Windows PowerShell. Название получил от сложения слов PowerShell и Ware в описании исследователей из Carbon Black. 

© Генеалогия: PowerShell Locker 2015 > PowerWare > FTCODE
К зашифрованным файлам никакое расширение не добавляется.

Активность этого криптовымогателя пришлась на март-апрель 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: FILES_ENCRYPTED-READ_ME.HTML

Содержание записки о выкупе:
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: xxxp://en.wikiDedia.ora/wiki/RSA (cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
---
For more specific instructions, please visit this home page:
1.xxxp://v2aahacan6ed564p.onion.nu
Please scroll below for your #UUID
---
If for some reasons the address is not available, follow these steps:
1. Download and install tor-browser: xxxp://www.torproiect.orQ/Droiects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: v2aahgcan6ed564p.onion
4. Follow the instructions on the site.
---
IMPORTANT INFORMATION:
Your Home PAGE: xxxp://v2aahqcan6ed564p.onion.nu
Your Home PAGE(using TOR): 3afd57c4dchzp3pe.onion
Please scroll below for your #UUID
---
Your #UUID is MNfYUEmu30dlgv5jnIPoD9akc
The price to obtain the decrypter goes from 500$ to 1000$ on the day of 04/01/2016 02:37:20

Перевод записки на русский язык:
Что случилось с файлами?
Все ваши файлы были защищены сильным шифрованием с RSA-2048.
Более подробную информацию о ключах шифрования с помощью RSA-2048 можно найти здесь: xxxp://en.wikiDedia.ora/wiki/RSA (cryptosystem)
Что это значит?
Это значит, что структура и данные в файлах безвозвратно изменились, вы не сможете работать с ними, читать их или видеть их, это то же самое, как потерять их навсегда, но с нашей помощью, вы можете восстановить их.
Как это произошло?
Специально для Вас, на нашем сервере был создан парный секретный ключ RSA-2048 - открытый и секретный.
Все ваши файлы зашифрованы с помощью открытого ключа, который передан на компьютер через Интернет.
Дешифровать файлов можно только с помощью секретного ключа и декриптера, находящихся на нашем секретным сервере.
Что мне делать?
Увы, если не принять нужные меры в заданное время, то будут изменены условия для получения секретного ключа.
Если вы точно цените свои данные, то мы предлагаем вам не тратить ценное время на поиск других решений, т.к. их нет.
---
Более подробные инструкции, пожалуйста, посетите домашнюю страницу:
1.xxxp://v2aahacan6ed564p.onion.nu
Пожалуйста, прокрутите ниже для вашего #UUID
---
Если по каким-то причинам адрес не доступен, выполните следующие действия:
1. Скачайте и установите TOR-браузер: xxxp://www.torproiect.orQ/Droiects/torbrowser.html.en
2. После успешной установки, запустите браузер и дождитесь инициализации.
3. Введите в адресной строке: v2aahgcan6ed564p.onion
4. Следуйте инструкциям на сайте.
---
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша домашняя страница: xxxp://v2aahqcan6ed564p.onion.nu
Ваша домашняя страница (с использованием ТЗ): 3afd57c4dchzp3pe.onion
Пожалуйста, прокрутите ниже для вашего #UUID
---
Ваш #UUID является MNfYUEmu30dlgv5jnIPoD9akc
Цена для получения Decrypter идет от 500 $ до 1000 $ в день 04/01/2016 02:37:20

В записке о выкупе в качестве алгоритма шифрования указан RSA-2048 для устрашения пострадавшей стороны. 

Распространяется с помощью email-спама и вредоносных вложений (например, Invoice 2016-M.docm, Faktura_2016-M.doc, Invoice 2016.zip, Invoice_2016_M.lnk и пр.), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


PowerWare маскируется под документы Microsoft Word в качестве счета-фактуры. 

При открытии этого файла предлагается включить макрос, якобы для правильного отображения содержимого документа. Если пользователь разрешит это действие, то будет создан процесс cmd.exe и вызван Windows PowerShell для загрузки и запуска вредоносного скрипта с сайта вымогателей. Таким образом вредоносную работу выполняет PowerShell, который не надо загружать из Интернета, потому что он компонент системы. 

После шифрования файлов PowerWare оставляет записки о выкупе в каждой папке с зашифрованными файлами, в которых подробно расписано как пострадавший пользователь может получить свои файлы обратно. Затем крипто-вымогатель самоликвидируется. 

На Tor-сайте вымогателей приведены инструкции по покупке биткоинов и передаче их вымогателям. Есть функция предварительной дешифровки файлов, чтобы доказать наличие работающего декриптера. 


Обманчивая простота в коде и "бестелесность" PowerWare представляет собой новый подход к производству программ-вымогателей. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm,.docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx,  .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds,  .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spf, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xpi, .xpt, .xtwx, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (447 расширений). 
Это документы MS Office, PDF, базы данных, фотографии, анимация, музыка, видео, архивы, файлы налоговых деклараций, Adobe Photoshop, CorelDRAW и пр.

Файлы, связанные с этим Ransomware:
FILES_ENCRYPTED-READ_ME.HTML
Invoice 2016-M.docm
Faktura_2016-M.doc
Invoice 2016.zip
Invoice_2016_M.lnk
<random>.exe
<random>.tmp
<random>.lnk
<random>.docm
<random>.doc

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
skycpa.in/pi.php
piecelaw.top
ruttslaw.work
104.131.129.248
162.243.240.178

Результаты анализов:
Гибридный анализ на инвойс >>
VirusTotal анализ на инвойс >>
Malwr анализ >>

По умолчанию выполнение сценариев Windows PowerShell в системе запрещено. По соображениям безопасности все скрипты PowerShell должны быть подписаны цифровой подписью. Если скрипт не соответствует этому условию, то выполнение сценариев PowerShell в системе запрещено. Это связано с тем, что в скрипте может находиться вредоносный код, который может нанести вред операционной системе. Но так как известно немало случаев воровства цифровой подписи или получения её мошенниками, то лучше вообще отключить использование в Windows работу PowerShell как компонента. 

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 Carbon Black
 Trend Micro
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 11 апреля 2016 г.

Jigsaw

Jigsaw Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в  $150 USD или 0.4 BTC, чтобы вернуть файлы. Оригинальное название: JigsawRansomware, BitcoinBlackmailer. На файле написано: BitcoinBlackmailer.exe 

© Генеалогия: Jigsaw. Начало > CryptoHitman

Этимология названия: 
Вымогатель получил свое название в честь культового персонажа из фильма ужасов "Пила". на экране показывается эпатажное изображение "куклы Билли" из этого фильма.

К зашифрованным файлам добавляется расширение .fun
Другие расширения, использованные этим крипто-вымогателем в течении ближайших дней: 
.btc - от 12 апреля 2016
.kkk - от 12 апреля 2016
.gws - от 13 апреля 2016

Позже Jigsaw стал использовать следующие расширения:
.porno
.payransom
.payms
.paymst
.AFD
.paybtcs
.epic
.xyz - от 29 июля 2016
.encrypted
.hush
.paytounlock
.uk-dealer@sigaint.org
.gefickt
.nemo-hacks.at.sigaint.org

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных, португалоязычных, испаноязычных, немецкоязычных и пр. пр. пользователей, что помогает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.


Начальная и конечная части эпатажного требования о выкупе


Анимированное изображение всего процесса

Содержание текста может различаться не только в зависимости от версии или страны распространения, но и от того, где пострадавший подцепил эту штуку. 

Содержание текста о выкупе (1-й вариант): 
Your computer files have been encrypted. Your photos, videos, documents, etc....
But, don't worry! I have not deleted them, yet.
You have 24 hours to pay 150 USD in Bitcoins to get the decryption key.
Every hour files will be deleted. Increasing in amount every time.
After 72 hours all that are left will be deleted.
If you do not have bitcoins Google the website localbitcoins.
Purchase 150 American Dollars worth of Bitcoins or .4 BTC. The system will accept either one.
Send to the Bitcoins address specified.
Within two minutes of receiving your payment your computer will receive the decryption key and return to normal.
Try anything funny and the computer has several safety measures to delete your files.
As soon as the payment is received the crypted files will be returned to normal.
       Thank you

Перевод текста на русский язык: 
Твои компьютерные файлы были зашифрованы. Твои фотографии, видео, документы и т.д....
Но, не волнуйся! Я ещё не удалил их.
У тебя есть 24 часа, чтобы заплатить 150$ в биткоинах, чтобы получить ключ дешифрования.
Каждый час файлы будут удаляться. Количество увеличится каждый раз.
Через 72 часа все оставшиеся будут удалены.
Если у тебя нет биткоинов гугли сайт localbitcoins.
Купи на 150$ США биткоины или 0.4 BTC. Система примет любой из них.
Отправь на указанный биткоин-адрес.
В течение двух минут после получения платежа твой компьютер получит ключ дешифрования и вернётся в нормальное состояние.
Попробуешь что-то смешное и на компьютере есть несколько способов для удаления твоих файлов.
Как только будет получен платеж, зашифрованные файлы будут возвращены в нормальное состояние.
       Cпасибо
======


Содержание текста о выкупе (2-й вариант): 
I want to play a game with you. Let me explain the rules:
All your files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access them.
Every hour I select some of them to delete permanently,
therefore I won't be able to access them, either.
Are you familiar with the concept of exponential growth? Let me help you out.
It starts out slowly then increases rapidly.
During the first 24 hour you will only lose a few files,
the second day a few hundred, the third day a few thousand, and so on.
If you turn off your computer or try to close me, when I start next time
you will get 1000 files deleted as a punishment.
Yes you will want me to start next time, since I am the only one that
is capable to decrypt your personal data for you.
Now, let's start and enjoy our little game together!  

Перевод текста на русский язык: 
Я хочу сыграть с тобой. Позволь мне объяснить правила:
Все твои файлы удаляются. Твои фотографии, видео, документы и т.д.
Но, не волнуйся! Это произойдет, только если ты откажешься.
Однако я уже зашифровал твои личные файлы, поэтому ты не сможешь получить к ним доступ.
Каждый час я выбираю некоторые из них для удаления навсегда,
поэтому я не смогу получить к ним доступ.
Ты знаком с концепцией экспоненциального роста? Позвольте мне помочь вам.
Она медленно начинается, а затем быстро увеличивается.
В течение первых 24 часов ты потеряешь только несколько файлов,
на второй день - несколько сотен, на третий день - несколько тысяч и т.д.
Если ты выключишь компьютер или попытаешься закрыть меня, то когда я запущусь в следующий раз, то ты потеряешь 1000 файлов, удалённых в наказание.
Да, ты сам захочешь, чтобы я запустился в следующий раз, т.к. я единственный, кто может расшифровать твои личные данные для тебя.
Теперь давай начнём и насладимся нашей маленькой игрой вместе!
======


Содержание текста о выкупе (3-й вариант):
Eu quero jogar um jogo. Deixe-me explicar as regras:
Todos os seus arquivos serao deletados. Fotos, vídeos, documentos, etc.
Mas nao se preocupe! Só vai acontecer se voce nao cooperar.
Porém, eu já encriptei seus arquivos, entao voce nao consegue mais acessá-los.
A cada hora eu seleciono algum deles para ser excluído permanentemente,
Voce conhece o conceito de crescimento exponencial? Funciona assim:
Começa devagar e acelera depressa
Nas primeiras 24h voce só perderá alguns arquivos
No segundo dia, algumas centenas, no teceiro, milhares, e assim vai
Se voce desligar seu computador ou tentar me fechar
1.000 (MIL) arquivos serao deletados como puniçao
E voce vai querer que eu continue aqui, 
já que sou o único que pode devolver seus arquivos
Agora, vamos jogar!
Envie 50 dólares (aproximadamente R$200) em bitcoins para o endereço abaixo 
(Se voce nao sabe comprar e enviar bitcoins, procure no Google. É fácil)

Перевод текста на русский язык: 
Я хочу сыграть в игру. Позволь мне объяснить правила:
Все твои файлы будут удалены. Фотографии, видео, документы и т.д.
Но не волнуйся! Это произойдет, только если ты не будешь сотрудничать.
Тем не менее, я уже зашифровал твои файлы, поэтому ты не сможешь их получить.
Каждый час я выбираю некоторые из них, чтобы удалить навсегда.
Ты знаешь концепцию экспоненциального роста? Она работает так:
Медленно начинается и быстро ускоряется.
В первые 24 часа ты потеряешь только некоторые файлы.
На второй день - несколько сотен, на третий - тысячи и так далее.
Если ты выключишь компьютер или попробуешь закрыть меня, то в наказание будут удалены 1000 файлов.
И ты захочешь, чтобы я остался здесь, т.к. я единственный, кто может вернуть твои файлы
Теперь давай играть!
Отправь 50$ (приблизительно 200 R$) в биткоинах по адресу ниже
(Если ты не знаешь, как покупать и отправлять биткоины, или в Google).
---
200 R$ - это 200 бразильских реалов. 


Сообщения и изображение призваны запугать пользователя, заставляя заплатить выкуп. Если выкуп не поступает в течении часа, часть файлов удаляется и через час отсчет времени начинается заново. Исследователи выяснили, что удаляется первая тысяча файлов, затем вторая...



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Когда Jigsaw запускается в первый раз, то он сканирует диски жертвы для поиска определенных расширений файлов, затем шифрует их с использованием алгоритма AES, и добавляет расширение .fun (или одно из новых) к имени файла.

При шифровании файлов вредонос:
- добавляет имя файла в список зашифрованных файлов EncryptedFileList, расположенный в директории \System32Work\EncryptedFileList.txt ;
- назначает адрес Bitcoin для уплаты выкупа за файлы и сохраняет его в файл %UserProfile%\AppData\Roaming\System32Work\Address.txt ;
- прописывается в автозапуск, чтобы запускаться с Windows.
Более того, при каждом запуске системы Jigsaw удаляет 1000 зашифрованных файлов.

Если в назначенный час количество поступивших на биткоин-адрес вымогателя биткоинов равно или больше требуемой суммы, то вымогатель будет автоматически расшифровывать файлы.

Список файловых расширений, подвергающихся шифрованию:
.1pa, .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .cal, .cdr, .cdt, .cdx, .cgn, .class, .clk, .cmx, .cnt, .cpp, .cpt, .cpx, .cs, .csl, .csv, .cur, .dat, .db, .dbf, .des, .des, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsf, .dwg, .dwg.eps, .dxf, .efx, .eps, .fim, .fla, .flv, .fmv, .fpx, .fx0, .fx1, .fxr, .gem, .gif, .h, .idml, .iff, .iif, .img, .indb, .indd, .indl, .indt, .ini, .inx, .jar, .java, .jpeg, .jpg, .js, .lgb, .m3u, .m3u8, .m4u, .mac, .max, .mdb, .met, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .mx0, .nap, .nd, .pat, .pcd, .pct, .pcx, .pdb, .pdf, .pfb, .php, .pic, .plb, .plt, .pmd, .png, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prn, .prn, .prproj, .ps, .psd, .psp, .ptb, .py, .qba, .qbb, .qbi, .qbm, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qpd, .qsm, .qss, .qst, .qwc, .ra, .rar, .raw, .rb, .rif, .rtf, .rtp, .sct, .sdf, .ses, .set, .shw, .sldm, .sldx, .sql, .svg, .swf, .tga, .tif, .tiff, .tlg, .tlg, .ttf, .txt, .v30, .vcf, .vob, .vsd, .wav, .wi, .wk3, .wk4, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .xcf, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .zip (206 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BitcoinBlackmailer.exe
firefox.exe
drpbx.exe
Address.txt
EncryptedFileList.txt

Расположения:
C:\Users\User\AppData\Roaming\Frfx\firefox.exe - копия исп. файла
C:\Users\User\AppData\Local\Drpbx\drpbx.exe - копия исп. файла
%UserProfile%\AppData\Roaming\Frfx\
%UserProfile%\AppData\Roaming\Frfx\firefox.exe - копия исп. файла
%UserProfile%\AppData\Local\Drpbx\
%UserProfile%\AppData\Local\Drpbx\drpbx.exe - копия исп. файла
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt


Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe    %UserProfile%\AppData\Roaming\Frfx\firefox.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
1fichier.com***
btc.blockr.io***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  HA+>>
VirusTotal анализ >>

Степень распространённости: средняя, но и перспективно высокая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 11 мая 2016:
См. статью CryptoHitman Ransomware

Обновление от...
См. статью...


Обновлённый список используемых расширений (по алфавиту):
.afc, .AFD, 
.beep, .btc, 
.Contact_TarineOZA@Gmail.com_, .crypte, .Crypto, 
.die, 
.encrypted, .epic, 
.fun, 
.game, .gefickt, .getrekt, .ghost, .gws, 
.hush, 
.ice, .ini, .I'WANT MONEY, 
.jey, 
.kill, .kkk, .korea, 
.lckd, .locked, .Locked, .lost, 
.nemo-hacks.at.sigaint.org, 
.pabluk300CrYpT!, .pablukCRYPT, .pabluklocker, .PAY, .paybtcs, .paym, .paymds, .paymrss, .paymrts, .payms, .paymst, .paymts, .payransom, .payrms, .payrmts, .pays, .paytounlock, .porno, .pornoransom, 
.R3K7M9, .ram, .rat, 
.sux, 
.tax, .To unlock your files send 0.15 Bitcoins to 1P67AghL2mNLbgxLM19oJYXgsJxyLfcYiz within 24 hours 0.20 after 24 hours, 
.uk-dealer@sigaint.org, 
.versiegelt, 
.xyz

Новые см. ниже.  


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать JigsawDecrypter для дешифровки >>
Он регулярно обновляется под новые версии
***
 Read to links: 
 ID Ransomware (ID as Jigsaw)
 Write-up, Topic of Support, Mass media, Malekal's forum
 🎥 Video review
 Thanks: 
 Lawrence Abrams, Michael Gillespie
 MalwareHunterTeam 
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 7 апреля 2016 г.

Kovter

Kovter Ransomware 

(фейк-шифровальщик)


   Этот вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. 

К зашифрованным файлам добавляется расширение .cryptedПервая активность Kovter как вымогателя пришлась на март 2016 г., но продолжилась и после. 

Немного истории: 
В течение 2013 года Kovter прославился как "полицейский-вымогатель" (Police Ransomware), для чего использовался полиморфный исполняемый файл, выполнявший на заражённом ПК постоянный мониторинг действий пользователя, чтобы в случае загрузки пользователем каких-либо файлов, выдать "штраф" "нарушителю" закона. 
В 2014-2015 годах Kovter засветился в кликфрод-атаках с мошеннической рекламой, фиктивными обновлениями и использованием язвимостей в Adobe Flash Player, Internet Explorer, чтобы загрузить на ПК своих жертв другие вредоносные программы. 
В 2015 Kovter стал программой-невидимкой, использующей исполняемые файлы Windows, но работал в том же направлении — кликфрод и Scareware. 
За первые несколько месяцев 2016 года Kovter отличился как спутник Nemucod Ransomware. В июле 2016 бестелесный Kovter стал использовать поддельное обновление для браузера Firefox и сертификат, выпущенный Comodo. После выполнения в системе жертвы вредонос записывал зашифрованный скрипт в разные места реестра Windows и использовал PowerShell для других вредоносных действий. 

Детект на VirusTotal >>
Описание от Symantec >>

  Во всех своих новых вариациях Kovter сохраняет и свои старые возможности, включая прослушивание трафика пользователей и похищение персональной информации. С каждой новой вариацией его становится труднее обнаруживать. На данный момент Kovter изменился как в целях, так и в методах, которые он теперь использует.

  В качестве сегодняшнего вымогателя Kovter вкладывает усилия в быстрое получение выкупа, а не в само шифрование. Обфусцируя только первую часть файла, Kovter наскоро "шифрует" большинство файлов, которые находит интересными (текстовые документы, презентации, архивы и пр.), добавляя расширение .crypted. Из-за того, что первые байты файла зашифрованы, невозможно открыть файл, как обычно (см. Рис.1-2 ниже). Но ключ шифрования у него не отсылается на C&C-сервер, а хранится локально на инфицированном устройстве, потому доступ к зашифрованным файлам можно восстановить.


Открытый PDF-файл до и после обфускации


Kovter изменяет только начало файла

  При помощи утилиты для сравнения текста WinDiff можно увидеть, что было изменено только начало файла. Красная часть на скриншоте является исходным файлом, жёлтая — обфусцированным. Далее файлы одинаковы.

  Распространяется с помощью email-спама и вредоносных вложений, с помощью поддельных обновлений для Adobe Flash, для браузеров Internet Explorer и Mozilla Firefox, с помощью Nemucod TrojanDownloader и атак drive-by-download

Подробности используемого Kovter метода вымогательства см. в блоге исследователей

  Файлы, подвергающиеся шифрованию: 
Большинство файлов, которые Kovter находит интересными (документы, презентации, архивы и пр.). 

 Файлы, связанные с Ransomware: 
***
 Записи реестра, связанные с Ransomware: 
***

Т.к. файлы всё же не шифруются, то Kovter Ransomware я отношу к фейк-шифровальщикам

 Степень распространённости: средняя. 
 Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 6 апреля 2016 г.

HelpMe

HelpMe Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует платы за услуги дешифровки, чтобы восстановить файлы. В ответном письме может быть указана любая сумма в биткоинах: 1, 2, 3... Название получил от первой части адреса вымогателей. 

© Генеалогия: ***

К зашифрованным файлам добавляется составное расширение по шаблону .id-4126721512_helpme@freespeechmail.org. То есть файл wallpaper.jpg станет wallpaper.jpg.id-4126721512_helpme@freespeechmail.org у жертвы с ID 4126721512. 

Активность этого криптовымогателя пришлась на ноябрь 2015 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: Recovery.bmp

Вымогательский текст и условия написана на скринлоке, встающем обоями рабочего стола. 

Содержание текста о выкупе:
Attention! Your computer has been attacked by a virus-encoder!
All your files are now encrypted using cryptographically strong algorithm.
Without the original key recovery is impossible.
To get the decoder and the original key, you need to email us at helpme@freespeechmail.org
Our assistance is not free, so expect to pay a reasonable price for our decrypting services. No exceptions will be made.
In the subject line of your email include the id number, which can be found in the file name of all encrypted files.
It is in your interest to respond as soon as possible to ensure the restoration of your files.
P.S. only in case you do not receive a response from the first email address within 48 hours, please use this alternative email address:
helping@openmailbox.org

Перевод текста на русский язык:
Внимание! Ваш компьютер был атакован вирусом-энкодером!
Все ваши файлы зашифрованы с криптографически стойким алгоритмом.
Без оригинального ключа восстановление невозможно.
Для получения декодера и оригинального ключа вам надо написать нам на helpme@freespeechmail.org
Наша помощь небесплатна, потому нужно заплатить разумную цену за наши услуги расшифровки. Исключений не будет.
В теме вашего email-письма включите ID номер, который можно найти в имени файла всех зашифрованных файлов.
Это в ваших интересах ответить как можно скорее, чтобы восстановить файлы.
P.S. только в случае, если вы не получили ответ от первого email-адреса за 48 часов, пожалуйста, используйте этот альтернативный адрес:
helping@openmailbox.org

Пример ответного письма вымогателей:
Hello
If you wish to get all your files back, you need to pay 3 BTC.
How to get bitcoins?
1. google bitcoin ATMs
2. google localbitcoins dot com
3. google: buy bitcoins
This is the only way to get your files back.
There’s no way to decrypt them without the original key.
The price is non-negotiable.
After paying 3 BTC and emailing the confirmation of payment you will be provided with a decoder.
If you don’t trust me, you can email one of your files, I will decode it and send it back to you.
However, if the file you’re requesting to decode is valuable, I will send you either a quote from it or a screenshot.
I apologise for any inconvenience caused.
Let me know if you want to proceed.
Thank you for cooperation.

Перевод на русский язык:
Привет
Если хотите получить все ваши файлы обратно, то вам нужно оплатить 3 BTC.
Как получить биткойны?
1. гугли bitcoin ATMs
2. гугли localbitcoins dot com
3. гугли: buy bitcoins
Это единственный способ получить файлы обратно.
Никакого способа расшифровать их без оригинального ключа.
Цена не является предметом переговоров.
После оплаты 3 BTC и отправки по email подтверждение об оплате вам будет предоставлен декодер.
Если вы не доверяете мне, то пришлите по email один из ваших файлов, я декодирую его и пришлю его вам обратно.
Тем не менее, если файл запрашенный для дешифровки очень ценный, я пошлю вам либо цитату из него или скриншот.
Прошу прощения за возможные неудобства.
Дайте мне знать, если хотите продолжить.
Благодарим за сотрудничество.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
doc, docx, pdf, xls, xlsx, jpg, jpeg и другие.

Файлы, связанные с HelpMe Ransomware:
Recovery.bmp

Записи реестра, связанные с HelpMe Ransomware:
***

Email вымогателей:
helpme@freespeechmail.org
helping@openmailbox.org

Позже, в начале 2016 года, были замечены другие адреса вымогателей:
email_info@cryptedfiles.biz и другие. 

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: высокая (по семейству).
Подробные сведения собираются.


Внимание! 
Для зашифрованных файлов есть декриптор

 Read to links: 
 Writeup on BC
 RakhniDecryptor 
 *
 Thanks: 
 Lawrence Abrams
 Kaspersky Lab
 *
 

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *