Если вы не видите здесь изображений, то используйте VPN.

пятница, 20 мая 2016 г.

Bloccato

Bloccato (Italian) Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью AES-256 и требует 5 биткойнов ($2000) за расшифровку. Причем, эта сумма выкупа, уплаченного в течении 3 дней, после шифрования, потом будет уже 10 битоинов и еще 3 суток на уплату, после чего ключ дешифрования будет уничтожен. Вымогатели обещают прислать ключ в течении 3 суток после уплаты выкупа. Файлы, зашифрованные с помощью Bloccato, получают расширение .bloccato

© Генеалогия: Hidden Tear >> Bloccato (Italian)

Криптовымогатель ориентирован на итальянских пользователей, т.к. название записки о выкупе и текст написаны на итальянском языке. Слово bloccato переводится с итальянского как "блокирован". 

  Распространяется с помощью email-спама со ссылками на вредоносные сайты, через вредоносные вложения в фишинг-письма и сети общего доступа. 

  Записка с требованием выкупа и с инструкциями для уплаты выкупа LEGGI QUESTO FILE.txt  добавляется на Рабочий стол и в каждую папку с зашифрованными файлами. 

Содержание записки о выкупе:
EGREGIO AMICO, I SUOI FILES SONO STATI CRIPTATI CON UN ALGORITMO AD ELEVATA CIFRATURA
LA CHIAVE PER RIPRISTINARE I SUOI FILES È STATA MEMORIZZATA SU UN NOSTRO SERVER SEGRETO\nPER AVERLA DOVRÀ PAGARE CON 5 BITCOIN ENTRO MASSIMO 3 GIORNI
QUALORA NON DOVESSE PAGARE ENTRO I TERMINI SPECIFICATI, IL COSTO DELLA CHIAVE SALIRÀ AUTOMATICAMENTE A 10 BITCOIN
E AVRÀ SOLO ALTRE 72 ORE DI TEMPO PER PAGARE.
SE RIFIUTA DI PAGARE LA CHIAVE VERRÀ DISTRUTTA DEFINITIVAMENTE
MEDESIMO DESTINO SE PROVERÀ A RIMUOVERE O A ELIMINARE QUESTO PROGRAMMA
PER SAPERE COME FARE AD EFFETTUARE IL PAGAMENTO IN BITCOIN VADA SU QUESTO SITO: WWW.COMPRABITCOIN.IT O SU WWW.BITCOIN.ORG/IT O BISTAMP.NET
SE RISCONTRASSE DIFFICOLTÀ LA INVITO A RIVOLGERSI AD UN ESPERTO INFORMATICO PER FARSI AIUTARE
QUESTO È L'INDIRIZZO BITCOIN A CUI INVIARE IL DENARO: 1FVGnjjRNg8k7RgXMsvQpVdeRyJtHsXV6T
ENTRO 72 ORE DAL RICEVIMENTO DEL PAGAMENTO LE INVIEREMO IL CODICE,
E TUTTE LE INFORMAZIONI UTILI ALLO SBLOCCO DI TUTTI I SUOI FILES.
CERTO DI UN SUO FAVOREVOLE RISCONTRO LE PORGO I MIEI PIÙ CORDIALI SALUTI

Список файловых расширений, подвергающихся шифрованию:
.avi, .csv, .dbf, .dif, .doc, .docx, .dwg, .dxf, .eps, .fm3, .html, .jpeg, .jpg, .mdb, .mov, .odt, .pdf, .png, .pps, .ppt, .pptx, .psd, .rar .rtf, .sql, .txt, .wks, .xls, .xlsx, .xml, .zip

Файлы, принадлежащие вымогателю:
mateo-renzi.exe - исполняемый файл, названный так по имени премьер-министра Италии Матео Ренци;
LEGGI QUESTO FILE.txt  - записка о выкупе, переводится как "Прочтите этот файл".

Степень распространённости: низкая. 
Подробные сведения собираются.

четверг, 19 мая 2016 г.

Zyklon Locker

Zyklon Locker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель создает вредоносные файлы в ключевых папках Windows, использует их для шифрования файлов пользователя, а затем требует 250 евро за расшифровку. Файлы, создаваемые этим вредоносом могут быть следующих типов: .dll, .exe, .js, .cmd, .bat, .vbs. Файлы, зашифрованные с помощью Zyklon Locker, получают расширение .zyklon. Закончив шифрование, Zyklon удаляет тома теневых копий файлов. Название Zyklon переводится с английского как "циклон". 

  Генеалогия: GNL Locker > Zyklon Locker

  Распространяется с помощью email-спама со ссылками на вредоносные сайты, DB-загрузок, через вредоносные вложения в фишинг-письма, с помощью фальшивых исполняемых файлов популярных программ, через поддельные Java или флэш-обновления и сети общего доступа. 

  Записки с требованием выкупа и с инструкциями для уплаты выкупа UNLOCK_FILES_README.html и UNLOCK_FILES_README.txt добавляются на Рабочий стол и в каждую папку с зашифрованными файлами. 

 По некоторым данным, Zyklon — это модификация уже известного GNL Locker, созданного для Германии и Нидерландов, только получившая новое расширение и название записок о выкупе. Информация проверяется. 

Список файловых расширений, подвергающихся шифрованию:
.3d, .3dm, .3ds, .3g2, .3gp, .7z, .accdb, .ai, .aif, .apk, .app, .asf, .asp, .aspx, .avi, .bat, .bin, .bmp, .cab, .cad, .cbr, .cer, .cfg, .cfm, .cgi, .com, .cpl, .crx, .csr, .css, .csv, .cue, .cur, .dat, .db, .dbf, .dds, .deb, .dem, .deskthemepack, .dll, .dmg, .dmp, .doc, .docx, .drv, .dwg, .dxf, .eps, .exe, .flv, .fnt, .fon, .gadget, .gam, .ged, .gif, .gis, .gpx, .gz, .hqx, .htm, .html, .icns, .ico, .iff, .indd, .ini, .iso, .jar, .jpg, .js, .jsp, .key, .keychain, .kml, .kmz, .lnk, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mid, .mim, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .nes, .obj, .odt, .otf, .pages, .pct, .pdb, .pdf, .php, .pif, .pkg, .plugin, .png, .pps, .ppt, .pptx, .prf, .ps, .psd, .pspimage, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sitx, .sql, .srt, .svg, .swf, .sys, .tar, .tar.gz, .tax2014, .tax2015, .tex, .tga, .thm, .tif, .tiff, .toast, .ttf, .txt, .uue, .vcd,  .vcf, .vob, .wav, .wma, .wmv,  .wpd, .wps, .wsf, .xhtml, .xlr, .xls, .xlsx, .xml, .yuv, .zip, .zipx (157 расширений). 

Это документы MS Office, OpenOffice, файлы изображений, аудио-видео, CAD-файлы, зашифрованные легитимными программами файлы, CAD-файлы, образы, проекты, файлы других прикладных программ. 

Zyklon добавляется в автозагрузку системы, изменив одну из следующих записей реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Файлы, принадлежащие вымогателю:
Zyklon.exe - исполняемый файл;
UNLOCK_FILES_README.html - записка о выкупе в HTML-формате;
UNLOCK_FILES_README.txt - записка о выкупе в TXT-формате. 

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles. 

среда, 18 мая 2016 г.

SNSLocker

SNSLocker Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует данные с помощью алгоритма AES-256 и требует 0,66 биткойнов ($300) за расшифровку. Файлы, зашифрованные с помощью SNSLocker, получают расширение .RSNSLocked. В названии расширения сокращено название криптовымогателя — Ransomware SNSLocked. Создатель крипто-вымогателя: Saad Nabil Soufyane. Отсюда его аббревиатура SNS. 


© Генеалогия: EDA2 >> SNSLocker

Написан на .Net Framework 2.0, с популярными библиотеками Newtonsoft.Json и MetroFramework UI. 

  Записка с требованием выкупа и с инструкциями для уплаты выкупа устанавливается в качестве обоев Рабочего стола ПК и показывается как уведомления при загрузке системы. В качестве вымогательских обоев, видимо, используется набор картинок, т.е. у разных пострадавших они могут быть разные. Их цель — шокировать жертву и ускорить уплату выкупа.  
 

  Распространяется SNSLocker с помощью email-спама, фишинг-рассылок, эксплойтов на зараженных сайтах, с помощью сетей общего доступа, в том числе с помощью кейгенов, активаторов и краков, а также как отдельные файлы SNSLocker.exe и SNSLOcker2.exe

Адрес C&C-сервера базируется в Германии и после того, как SNSLocker подключается к нему, то посылает следующую информацию с зараженного ПК:
- ID машины жертвы (8 символов, например, yas9yc92);
- имя компьютера;
- имя пользователя;
- публичный IP-адрес;
- MAC-адрес;
- дата шифрования.

Закончив шифрование файлов SNSLocker открывает окно-записку с требованием выкупа и инструкцией для расшифровки файлов, а также сообщает жертве присвоенный ID машины

 

Список файловых расширений, подвергающихся шифрованию:
 .1pa, .3dm, .3g2, .3gp, .aaf, .aep, .aepx, .aet, .aif, .als, .as3, .asf, .asx, .avi, .bik, .bmp, .bps, .c, .cal, .cdr, .cdt, .cdx, .cgn, .cis, .clk, .cmx, .cnt, .cpp, .cpt, .cpx, .cs, .csl, .csv, .cur, .die, .db, .dbf, .der, .dies, .doc, .docb, .docm, .docx, .dotm, .dotx, .drw, .ds4, .dsf, .dwg, .dxf, .efx, .eps, .fim, .fla, .flv, .fmv, .fpx, .fx0, .fx1, .fxr, .gem, .gif, .glas, .h, .höchste, .icbm, .idml, .iff, .iif , .img, .indb, .indd, .indl, .indt, .inx, .iso, .java, .jpeg, .jpg, .js, .klasse, .klopfen, .lgb, .m3u, .m3u8, .m4u, .mac, .max, .mdb, .met, .mitte, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .mx0, .nap, natter, .nd, .obdachlos, .out, .pcd, .pct, .pcx, .pdf, .pfb, .php, .pic, .plb, .plt, .pmd, .png, .pot, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prn, .prproj, .ps, .psd, .psp, .ptb, .punkt, .py, .qbb, .qbi, .qbm, .qbo, .qbp, .qbw, .qbx, .qby, .qpd, .qsm, .qss, .qst, .qwc, .rar, .raw, .roh, .rb, .rif, .rtf, .rtp, .sct, .ses, .set, .shw, .sldm, .sldx, .sql, .svg, .swf, .tga, .tif, .tiff, .tlg, .ttf, .txt, .v30, .vcf, .vob, .vsd, .wanderwege, .wav, .webm, .wi, .wk3, .wk4, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .xcf, .xla, .xlam, .xii, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .zu (204 расширения). 
В список расширений у некоторых исследователей вкрались повторы одних и тех же расширений. Я убрал повторы и пересчитал количество расширений. Их оказалось не 229, а 204. Список перед вами. 

Примечательно, что если размер файла больше, чем нужно шифровальщику по умолчанию, то используются функции SplitFileBasedOnSize и SizeSplit, призванные разбить файл на равные части, которым добавляется расширение .RSplited. Вероятно, что потом файл всё-таки шифруется, перезаписывается и расширение заменяется на .RSNSlocked


По данным TrendMicro вымогатель атаковал пользователей по всему миру, отдавая предпочтение жертвам из США, среди которых и оказалось больше всего пострадавших.
Еще примечательно, что создатели SNSLocker забыли удалить из кода информацию о собственном сервере. Видимо, в целях сэкономии, они вместо выделенного сервера держали свой управляющий сервер у провайдера бесплатного виртуального хостинга, который оперативно отреагировал на запрос экспертов Trend Micro и заблокировал источник вредоносов. Также оператор SNSLocker использовал легитимный шлюз для приема платежей. Пока командный сервер еще работал, исследователи воспользовались учетными данными из кода SNSLocker и получили доступ к панели управления шифровальщиком, в том числе ко всей статистике и ключам дешифрования. 

Исполняемый файл, чтобы не быть замеченным, может менять имя:
[random_name].exe
ransomware.exe
svchost.exe
notepad.exe
Your Confirmation.exe
Receipt.exe

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Сетевые подключения:
хттп://saad.eu5.org/getinfo.php (C&C)
хттпs://i.imgur.com/VRJBpep.jpg (загружаемая картинка)

Степень распространённости: высокая.
Подробные сведения собираются.



 Read to links: 
 Write-up on BC
 ID Ransomware
 TrendMicro blog (added much later)
 *

 Thanks: 
 Lawrence Abrams of BC
 Michael Gillespie
 *
 *
 

вторник, 17 мая 2016 г.

777, Seven Legion

777 Ransomware

Legion (Seven Legion) Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует файлы, используя алгоритм XOR или аналог, а затем требует выкуп $800 в Bitcoins, чтобы вернуть файлы сегодня, и $1000 — завтра утром. Название дано по добавляемому расширению, другие названия: Sevleg или Seven legion. 

  К зашифрованным файлам добавляется расширение .777 или .legion, а его имя модифицируется согласно установленной схеме: 
FileName.[nativefiletype]_[timestamp]_$[emailtocontact]$.777
Имя файла.[расширение]_[число-месяц-год-время]_$[email для связи]$.777

  Таким образом файл Sales_May_2016.xls в зашифрованном виде принимает вид 
Sales_May_2016.xls_18-05-2016-08-32-40_$seven_legion@india.com$.777

  Если шифрование было прервано, то у пострадавших могло не оказаться записки с требованием выкупа. 

  Примечательно, что вредонос (или его прототип) известен в дикой природе с сентября 2015 г.  

  Сейчас пострадавшие получили записку о выкупе Read_this_file.txt:
FOR DECRYPT FILES
SEND ONE FILE IN E-MAIL
kaligula.caesar@aol.com

или 
FOR DECRYPT FILES
SEND ONE FILE IN E-MAIL
ninja.gaiver@aol.com

Замеченные email вымогателей: 
ninja.gaiver@aol.com
kaligula.caesar@aol.com
seven_legion@india.com

  Список файловых расширений, подвергающихся шифрованию: 
.1cd, .3ds, .3gp, .4db, .4dd, .7z, .7zip, .a3d, .abf, .accdb, .accdt, .aep, .aes, .ai, .alk, .arj, .asm, .avi, .axx, .bak, .bpw, .cdr, .cdx, .cer, .cpt, .crp, .crt, .csv, .db, .db3, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .drc, .dwfx, .dwg, .dwk, .dxf, .eml, .enz, .fbf, .fbk, .fbw, .fbx, .fdb, .flk, .flka, .flkb, .flkw, .flwa, .gbk, .gdb, .gho, .gpg, .gxk, .gzip, .hid, .hid2, .idx, .ifx, .iso, .iv2i, .jpeg, .jpg, .k2p, .kdb, .kdbx, .key, .keystore, .ksd, .ldf, .m2v, .m3d, .max, .mdb, .mdf, .mkv, .mov, .mp3, .mpd, .mpeg, .mpp, .myo, .nba, .nbd, .nbf, .nrw, .nsf, .nv2, .nx1, .odb, .odc, .odp, .ods, .odt, .ofx, .old, .orf, .ost, .p12, .pdb, .pdf, .pef, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptm, .pptx, .prproj, .psd, .pst, .psw, .ptx, .pz3, .qba, .qbb, .qbo, .qbw, .qfx, .qic, .qif, .r3d, .rar, .raw, .rfp, .rpt, .rsa, .rtf, .rwl, .rx2, .saj, .sbs, .sdc, .sdf, .sef, .sko, .sldasm, .sldprt, .sn1, .sna, .spf, .sql, .sqlite, .sr2, .srf, .srw, .sxc, .tar, .tax, .tbl, .tc, .tib, .tis, .txt, .wdb, .wps, .x3f, .xbrl, .xls, .xlsm, .xlsx, .xml, .zip (172 расширения).

Список игнорируемых расширений:
dll, exe, msi, 777 (зашифрованные). 

Файлы размером меньше 100 байт тоже игнорируются.

Вредонос изменяет системные файлы, удаляет или портит теневые копии, шифрует файлы не только на локальных, но и на сетевых дисках. 

Степень распространённости: относительно низкая.
Подробные сведения собираются. 


Внимание!!! 

Для зашифрованных файлов есть декриптер.



GhostCrypt

GhostCrypt Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует файлы, используя алгоритм AES-256, а затем требует 2 Bitcoins, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .Z81928819

© Генеалогия: Hidden Tear >> GhostCrypt

GhostCrypt cоздан на основе криптоконструктора HiddenTear. 

  Записка о выкупе READ_THIS_FILE.txt размещается на Рабочем столе. 

Перевод записки на русский язык:
Файлы были зашифрованы с помощью CryptoLocker.
Для того, чтобы расшифровать и получить обратно ваши файлы, надо заплатить 2 BTC (Bitcoin).
Вы должны сделать следующие шаги:
1. Android-пользователи должны загрузить приложение Bitcoin Wallet. iOS-пользователи должны загрузить приложение под названием Copay.
2. После регистрации и получения аккаунта Bitcoin, вы должны купить 2 BTC (Bitcoins) и загрузить в свой аккаунт.
3. Вы должны отправить эти Bitcoins на один из следующих счетов.
Аккаунты:
1. 19YWTHeSf1c4a2j1YNPTb3VCJn5ee21GRX
2. 1546jBPBRnR4NVrCZzVm7NtaH8FMQEy9mQ
После получения оплаты вам будет выдан ключ дешифрования и ваши файлы будут расшифрованы.
Для дополнительной информации посетите: https://goo.gl/wDhp4J

Примечательно, что ссылка ведет на итальянский раздел Bitcoin-вики. 

  Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .avi, .bk, .bmp, .css, .csv, .divx, .doc, .docx, .eml, .htm, .html, .index, .jpeg, .jpg, lnk , .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .msg, .odt, .ogg .pdf, .php, .png, .ppt, PPTX, psd, .rar, .sln , .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .zip

Степень распространённости: низкая.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер. 

SeginChile

SeginChile Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует файлы, используя алгоритм AES-256, а затем предлагает ввести полученный идентификатор и расшифровать файлы бесплатно. Создан на основе крипто-конструктора EDA2. 

© Генеалогия: EDA2 >> SeginChile

К зашифрованным файлам добавляется расширение .seginchile

Записки о выкупе, написанные на испанском языке, создаются в текстовом и html-вариантах — instrucciones.html и instrucciones.txt, и сохраняются на Рабочем столе. 
HTML-вариант записки о выкупе
TXT-вариант записки о выкупе

Перевод записки на русский язык: 
Инструкции
• Откройте https://victima.hackinq.cl
• Введите идентификатор, который вам предоставили ниже
• Скачайте дешифровщик
• Сгенерированный ключ дешифрования введите в дешифровщик
• Уникальный идентификатор: [*************]

Вымогатели предлагают свои жертвам посетить сайт Victima.hacking.cl, ввести полученный идентификатор и дешифровать файлы. Бесплатно. 

В качестве обоев Рабочего стола ставится следующее изображение

Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd.sln, .sql, .txt, .xls, .xlsx, .xml

Степень распространённости: средняя.
Подробные сведения собираются. 

понедельник, 16 мая 2016 г.

BuyUnlockCode

BuyUnlockCode Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует файлы с помощью алгоритма шифрования RSA-1024, а затем требует выкуп — приобретение уникального ключа разблокировки. Сначала файлы шифруются с помощью AES-шифрования, а затем AES-ключ шифруется с помощью RSA-ключа. К зашифрованным файлам прибавляется расширение .encoded.<unique id> . Например, файл example.txt примет вид example.txt.encoded.JS8521121, где буквенно-цифровой код в конце файла и будет уникальным идентификатором - ID. Можно представить также в виде схемы (.*).encoded.([A-Z0-9]{9})

  Распространяется через троянские программы и фальшивые обновления программного обеспечения. Тома теневых копий файлов не удаляются. 

  Когда шифровальщик закончит шифрование файлов, то показывает по пострадавшему пользователю записку о выкупе BUYUNLOCKCODE.txt, располагающуюся по адресу: C:\Users\User\AppData\Roaming\SunDevPackUpdate\BUYUNLOCKCODE.txt  
А также изменяет обои Рабочего стола на следующее изображение.
Обои вымогателя

Записка о выкупе

Содержание записки о выкупе:
Hi, your ID = JSOXXXXXXXX
All important files were encoded with RSA-1024 encryption algorithm.
There is the only way to restore them - purchase the unique unlock code.
Warning! Any attempt to recovering files without our "Special program" will cause data damage or complete data loss.
As we receive your payment, we will send special program and your unique code to unlock your system.
Guarantee: You can send one of the encrypted file by email and we decode it for free as proof of our abilities.
No sense to contact the police. Your payment must be made to the e-wallet. It's impossible to trace.
Don`t waste your and our time.
So, if you are ready to pay for recovering your files, please reply this email ChiuKhan@tom.com
Then we will send payment instructions.

В записке указаны email-адреса: 
nick.jameson@expressmail.dk
ChiuKhan@tom.com

  Список файловых расширений, подвергающихся шифрованию: 
.crt, .xls, .docx, .doc, .cer, .key, .pem, .pgp, .der, .rtf, .xlsm, .xlsx, .xlsb, .txt, .xlc, .docm, .ptb, .qbb, .qbw, .qba, .qbm, .xlk,.dbf, .mdb, .mdf, .mde, .accdb, .text, .jpg, .jpeg, .ppt, .pdf, .cdx, .cdr, .bpg, .vbp, .php, .css, .dbx, .dbt, .arw, .dwg, .dxf, .dxg, .eps, .indd, .odb, .odm, .nrw, .ods, .odp, .odt, .orf, .pdd, .pfx, .kdc, .nef, .mef, .mrw, .crw, .dng, .raf, .psd, .rwl, .srf, .srw,.wpd, .odc, .sql, .pab, .vsd, .xsf, .pps, .wps, .pptm, .pptx, .pst, .zip, .tar, .rar

  Файлы связанные с BuyUnlockCode Ransomware: 
%AppData%\SunDevPackUpdate\
%AppData%\SunDevPackUpdate\BUYUNLOCKCODE.txt
%AppData%\SunDevPackUpdate\pbinfoset.sww
%AppData%\SunDevPackUpdate\wallpp.bmp

  Записи реестра связанные с BuyUnlockCode Ransomware: 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\bcdel   cmd.exe /c del "%AppData%\SunDevPackUpdate\<random>.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\oldex   cmd.exe /c del "path-to-installer\installer.exe"
HKCU\Control Panel\Desktop\Wallpaper   "%AppData%\SunDevPackUpdate\wallpp.bmp"


Степень распространённости: не определена.
Подробные сведения собираются. 

пятница, 13 мая 2016 г.

8lock8

8lock8 Ransomware

   Этот криптовымогатель шифрует файлы с с помощью алгоритма AES-256. К зашифрованным файлам добавляется расширение .8lock8

© Генеалогия: Hidden Tear >> 8lock8

  Записка о выкупе READ_IT.txt написана на английском и русском. Размещается на Рабочем столе и в корне каждого диска. Примечательно, что в записке имеются email-адреса, которые указывают на Индию и Индонезию. 

Контакты из записки:
d1d81238@tuta.io
d1d81238@india.com

   Распространяется, главным образом, как вредоносное вложение в email, или посредством ссылки на вредоносный сайт, размещенной в фишинг-письме, или даже в новостях с предложением "Узнать подробнее" или "Поучаствовать". Никогда не посещайте подобные ссылки, если у вас стоит антивирус Free!

  Есть сведения, которые связывают 8lock8 с криптовымогателями MireWare и KimcilWare, тоже созданными на основе конструктора HiddenTear, и имеющими в записке о выкупе email тех же регионов. Есть и другие совпадения. 

  Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .bmp, .csv, .doc, .docx, .htm, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, PPTX , .rar, .sln, .sql, .txt, .wav, .xls, .xlsx, .xml, .zip 

Степень распространённости: низкая.
Подробные сведения собираются. 

Для файлов, зашифрованным этим криптовымогателем Майклом Джиллеспи, был создан декриптер (дешифровщик). 


 Внимание!!! 
Для зашифрованных файлов есть декриптер. 



четверг, 12 мая 2016 г.

GNL Locker

GNL Locker Ransomware


   Криптовымогатель GNL Locker при запуске проверяет IP-адрес компьютера и шифрует файлы с помощью алгоритма AES-256 только в том случае, если компьютер находится в Нидерландах или Германии. Отсюда его название  — G+N+L (Германско-Нидерландский Локер). 

 Файлы, зашифрованные с помощью GNL Locker, получают расширение .locked, а к ним прилагаются записки с требованием выкупа: 
UNLOCK_FILES_INSTRUCTIONS.txt
UNLOCK_FILES_INSTRUCTIONS.html


HTML-записка о выкупе

Степень распространённости: низкая.
Подробные сведения собираются. 

Приемником GNL Locker стал Zyklon Locker

Crypren

Crypren Ransomware 


   Этот криптовымогатель шифрует данные, а затем требует 0.1 Bitcoins (45.06 USD), чтобы вернуть файлы обратно. К счастью, криптовымогатель имеет дефект, потому специалистам удалось создать дешифратор DecryptCrypren. Шифрование в данном случае условно, скорее это базовая арифметика, больше похожая на обфускацию, чем шифрование. Просто генерируется случайная строка, а затем дополняется байтами, полученными с помощью ключа, взятого из каждого 64-байтного блока.

  К зашифрованным файлам добавляется расширение .encrypted . Закончив шифрование, вымогатель выводит на экране следующее сообщение, призывающее жертву перезагрузить ПК, чтобы получить инструкции и прочитать записку о выкупе READ_THIS_TO_DECRYPT.html


HTML-записка о выкупе. 

Файл READ_THIS_TO_DECRYPT.html размещается во всех системных папках и информирует жертву о том, то случилось с файлами. Для оплаты выкупа прилагается Bitcoin-адрес, на который нужно сделать перевод денег: Предупреждается, что ключ шифрования будет удалена через одну неделю после заражения компьютера. Но это требование, как показало изучение, не соответствует действительности.

Кнопки "How to buy Bitcoins #1" и "How to buy Bitcoins #2" внизу требования информируют жертву, как она может купить биткоины для последующей уплаты выкупа. 

 Согласно записи в реестре, файл READ_THIS_TO_DECRYT.html также отображается при каждом запуске системы. 
Записка о выкупе прописывается в автозагрузку.

Список файловых расширений, подвергающихся шифрованию:
.accdb, .accde, .accdr, .accdt, .bmp, .cpp, .cs, .css, .csv, .csy, .doc, .docm, .docx, .docxml, .docz, .gif, .gzip, .html, .jpg, .jpg2, .mdb, .mp3, .mp4, .mp4infovid, .mp4v, .pdf, .php, .php3, .png, .ppt, .pptm, .pptx, .py, .rar, .rar5, .rb, .rtf, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .swfhtml, .tar, .targz, .targz2, .tarlzma, .tarxz, .txt, .xlmv, .xls, .xlsm, .xlsx, .xml, .zip, .zipx 

Как показало исследование, ключ шифрования хранится непосредственно в каждом из измененных файлов, потому этот помогло получить информацию без оплаты его создателей. Пароль имеет буквенно-цифровой код длиной 64 байта. 

После дешифровки с помощью утилиты DecryptCrypren к дешифрованным файлам добавляется расширение .decrypt. Например, зашифрованный файл изображения test.jpg.ENCRYTED станет test.jpg.ENCRYTED.decrypt .

Файлы, связанные с Crypren Ransomware:
Crypren.exe
READ_THIS_TO_DECRYPT.html
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\READ_THIS_TO_DECRYPT.html

Записи реестра, связанные с Crypren Ransomware:
См. ниже гибридный анализ.

Сетевые подключения и связи:
хттпs://bitcoin.org/en/getting-started
хттпs://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
хттп://www.openssl.org/support/faq.html

Результаты анализов:

Степень распространённости: низкая. 
Подробные сведения собираются. 

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *