Если вы не видите здесь изображений, то используйте VPN.

суббота, 4 июня 2016 г.

Protected

Protected Ransomware 


   Этот криптовымогатель шифрует данные, а затем требует выкуп в 0,5 биткоинов. К зашифрованным файлам добавляется расширение .protected

Записка с требованием выкупа называется HOW_TO_RESTORE_YOUR_DATA.html 

Содержание записки о выкупе: 
What happened to your files 
All of your data has been encrypted with CryptoWall 3.0
What does this mean?
The data within your files has been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
Decrypting of your files is only possible with the help of the private key and the decription tool, which is available for a small fee.
What do I do?
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
If you remove this program your data will NOT be decrypted, additionally you will loose the opportunity to ever decrypt your files.
How do I decrypt my files?
To receive the decryption tool and the associated decryption key, you will have to pay a fee of 0.5 BTC (Bitcoin) which is equivalent to around $200.
The fee has to be paid within 7 days. If you fail to pay the fee in time, the decyption key will be destroyed and you will loose your files forever!
How do I get Bitcoin?
There's several ways to buy Bitcoin, please have a read through one or multiple of the following guides:
xxxxs://localbitcoins.com/guides/how-to-buy-bitcoins
xxxxs://en.bitcoin.it/wiki/Buying_Bitcoins_%28the_newbie_version%29
Please note: Most of these guides will tell you to create a Bitcoin wallet. You can skip this step and use the provided Bitcoin wallet adress below.
You can copy and paste these links into your browser to open the sites.
The fastest way to buy Bitcoin is to use an Bitcoin ATM, Bitcoin ATM's can be found all over the world, a list / map of Bitcoin ATM's can be found here: xxxx://www.coindesk.com/bitcoin-atm-map/
On some systems this page may take a while to load, please be patient.
When using a Bitcoin ATM we will receive the payment instantly and thus, your files can be decrypted as soon as today!
Where to send the payment to?
Your personal Bitcoin wallet adress: 175zYrgawhpMtqS6nijKoEE7nSa1wKBohG
Please use only this wallet adress when making the payment of 0.5 BTC
What happens after the payment?
After you have made the payment, please click the check payment button below. After successful receipt of payment you will receive the decryption tool and associated decryption key.
Button "Check Payment"
Thanks, have a lovely day.

Перевод на русский язык:
Что случилось с вашими файлами
Все ваши данные были зашифрованы с CryptoWall 3.0
Что это значит ?
Данные в файлах были сильно изменены, вы не сможете работать с ними, читать или видеть их, это как потерять их навсегда, но с нашей помощью вы можете восстановить их.
Дешифровка файлов возможна только с помощью секретного ключа и декриптера, который доступен за небольшую плату.
Что мне делать?
Если вы правда цените ваши данные, то мы предлагаем вам не тратить драгоценное время на поиск других решений, потому что они не существуют.
Если вы удалите эту программу ваши данные не будут расшифрованы, и вы потеряете возможность их дешифровать.
Как дешифровать мои файлы?
Для того, чтобы получить декриптер и связанный с ним ключ дешифровки, вам нужно заплатить выкуп в 0,5 BTC (Bitcoin), который сейчас эквивалентен $ 200.
Выкуп нужно оплатить за 7 дней. Если вы не можете оплатить его вовремя, ключ дешифровки будет уничтожен, и вы потеряете файлы навсегда!
Как получить Bitcoin?
Есть несколько способов, чтобы купить Bitcoin, прочтите одно или несколько этих руководств:
xxxxs://localbitcoins.com/guides/how-to-buy-bitcoins
xxxxs://en.bitcoin.it/wiki/Buying_Bitcoins_%28the_newbie_version%29
Обратите внимание: В этих руководствах рассказывается как создать Bitcoin-кошелек. Вы можете пропустить этот шаг и использовать предоставленный ниже Bitcoin-адрес.
Вы можете скопировать и вставить эти ссылки в адресную строку браузера, чтобы открыть сайты.
Самый быстрый способ купить Bitcoin — использовать Bitcoin ATM, Bitcoin-банкоматы можно найти во всем мире, список Bitcoin банкоматов можно найти здесь: http://www.coindesk.com/bitcoin-atm-map /
На некоторых системах эта страница может долго загружаться, будьте терпеливы.
При использовании Bitcoin-банкомата мы получим оплату немедленно и, так ваши файлы будут расшифрованы сегодня же!
Где отправить платеж?
Ваш персональный Bitcoin-адрес для оплаты: 175zYrgawhpMtqS6nijKoEE7nSa1wKBohG
Пожалуйста, используйте только этот адрес при совершении платежа в размере 0,5 BTC
Что происходит после оплаты?
После того как вы сделали оплату, нажмите на кнопку подтверждения оплаты ниже. После успешного получения оплаты вы получите инструмент для расшифровки и связанного с ним ключа дешифрования.
Кнопка "Check Payment"
Спасибо и прекрасного дня.

Степень распространенности: низкая.
Подробные сведения собираются.

Обновление от 29 ноября 2016:
Файлы: TraxxioSetup.exe
Расширение: .protected 

Результаты анализов: VT

JuicyLemon

JuicyLemon Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует данные, а затем требует выкуп, который сообщается индивидуально по контактам связи. Ориентировочно 1000 € (евро) с выплатой в биткоинах. 

© Genealogy: JuicyLemon > PizzaCrypts

К зашифрованным файлам добавляется расширение, включающее ID жертвы, по схеме: .id-[девять цифр]_. Пример, .id-778215456_

Полностью:
.id-[9_digits_victim’s_ID]_email1_support@juicylemon.biz_email2_provectus@protenmail.com_BitMessage_BM-[BM-address]

Зашифрованные файлы получают в код строку следующего вида: 
1039734717_email1_support@juicylemon.biz_email2_provectus@protonmail.com_BitMessage_BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F, где с легкостью угадываются два email и BM-адрес. 

 Шифруются только пользовательские данные. Системные и программные файлы не трогаются. Также, как у Chimera Ransomware и Bitmessage Ransomware требуется установить мессенджер Bitmessage для связи с вымогателями.

Записка с требованием выкупа называется RESTORE FILES.txt

Содержание записки о выкупе: 
Hello! We inform you that all, absolutely all of your files are encrypted!
But do not despair. Decryption is not possible without our help, our help is not free and costs a certain amount of money.
To begin the process of recovery your files you need to write us an email, attaching an example of an encrypted file.
- Our contacts for communication:
- Primary email: support@juicylemon.biz
- Additional email: provectus@protonmail.com
- Bitmessage:  BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
How To Use Bitmessage see https://youtu.be/ndqIffqCMaM
We encourage you to contact us for all three contacts!
- Very important:
Do not try to decrypt files by third-party decoders otherwise you will spoil files !
Be adequate in dealing with us and we will solve your problem.

Перевод записки на русский язык:
Привет! Сообщаем Вам, что все, абсолютно все ваши файлы зашифрованы!
Но не отчаивайтесь. Дешифровка невозможна без нашей помощи, наша помощь небесплатна и стоит некоторую сумму денег.
Чтобы начать процесс восстановления файлов, надо написать нам на email, приложить 1 зашифрованный файл.
- Наши контакты для связи:
- Первый email: support@juicylemon.biz
- Второй email: provectus@protonmail.com
- Bitmessage: BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
Как использовать Bitmessage см. https://youtu.be/ndqIffqCMaM
Мы рекомендуем Вам связаться с нами по всем трём контактам!
- Очень важно:
Не пытайтесь дешифровать файлы с помощью сторонних декодеров, иначе вы испортите файлы!
Будьте адекватны в общении с нами и мы решим вашу проблему.

Ответное письмо вымогателей:
Hello! The cost of the decoder for you is 1000 (€) euro in bitcoins, for a guarantee of existence the recovery program at us you can send the test file for decoding, after decoding of the test file we will send you requisites for payment of the decoder, and after payment the instruction on decoding and the decoder.

Перевод письма на русский язык:
Привет! Цена декодера для вас 1000 (€) евро в Bitcoin, для гарантии существования у нас программы восстановления пришлите нам 1 зашифрованный файл, после его дешифровки мы вышлем Вам реквизиты для оплаты декодера, а после оплаты инструкцию по дешифровке и декодер.

Список файловых расширений, НЕ подвергающихся шифрованию: 
 .acm .ade .adp .app .asa .asp .aspx .ax .bas .bat .bin .boo .acm .bootmgr .cer .chm .clb .cmd .cnt .cnv .com .cpl .cpx .crt .csh .dll .drv .dtd .exe .fxp .grp .h1s .hlp .hta .ime .inf .ini .ins .isp .its .js .jse  .ksh .lnk .mad .maf .mag .mam .man .maq .mar .mas .sys

Шифровальщик не шифрует файлы со следующими именами, находящие в корне системного диска:
boot.ini
bootmgr
BOOTNXT
BOOTSECT.BAK
Bootfont.bin
NTDETECT.COM
ntldr
NTUSER.DAT
PDOXUSRS.NET

В продуктах Symantec называется Trojan.Ransomcrypt.BB >>

Обновление от 10 июля 2016
Новое расширение: .id-[10_digits_victim’s_ID]_sos@juicylemon.biz

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 2 июня 2016 г.

SilentShade

SilentShade Ransomware 

(BlackShades Crypter) 

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (ключ RSA-4096), а затем требует выкуп в 0.07 BTC ($30), чтобы вернуть файлы обратно. Срок уплаты выкупа - 96 часов. Зашифрованные файлы получают расширение .silent. Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. 

  SilentShade удаляет теневые копии файлов,  добавляет себя в автозагрузку Windows, отключает диспетчер задач и восстановление системы. Может работать как процесс "win.exe". Может распространяться как поддельное видео, поддельные краки и патчи. 

  Записки с требованием выкупа называются   Hacked_Read_me_to_decrypt_files.Html и Hacked.txt. Также создаются и размещаются в папках с зашифрованными данными файлы "YourID.txt" и "Ваш идентификатор", содержащие ID жертвы, который затем нужно предоставить вымогателям. В записке о выкупе создатели криптовымогателя именуют его BlackShades Crypter. Отсюда второе название в заголовке статьи. 
 
1-й вариант HTML-записки
2-й вариант HTML-записки
Записка Hacked.txt

Примечательно, что получены два варианта html-записки о выкупе. Порядок текста немного отличается, но суть та же. 

Оригинальное двуязычное содержание 1-го варианта записки о выкупе: 

You have been struck with Black Shades
All of your files were protected by a strong encryption with RSA-4096

What is RSA-4096?
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Your files will be enqrypted for your life So Dont Wait so long To Restore your files Because YOU CANNOT!!
You Need to Folow One of this Steps:
- Visit this website > http://daftoraytg.com/ and folow the steps to decrypt your files
- Send 30$ = 0.0700 Bitcoin to this Account > 14CcrhERkVWkJoiE15vxxxxxxxxxxxxxxx and then contact silentshades@protonmail.com ...

Why is RSA-4096 dangerous?
After RSA-4096 sneaks into your system, without you even realizing it, it goes to work.
It begins the encryption process and cloaks everything you have stored on your computer. Every file, every photo, every video, music, documents, nothing, is safe.
The infection encrypts everything. You still see it, but you cannot open it. That’s its play. It keeps it right in your reach but doesn’t allow you to access it.

Please note:
- 100% you will have your all files Back ) if you will follow the steps 1 or 2
- After (96) hours the key to decrypt your files will be deleted from our database
After you finshed 1 of your steps open the decrypter porgram and restore your all files wich we will sended to you after our deal
- You can find the ID Detals in [/Desktop or /Downloads or /Documents] folder.
===========================

Ваш компьютер поражен Black Shades
Все файлы были зашифрованы с сильным шифрованием RSA-4096.

Что такое RSA-4096?
Более подробную информацию о даннном типе шифрования с использованием RSA-4096 можно найти здесь: https://ru.wikipedia.org/wiki/RSA
Ваши файлы будут зашифрованы для вашей жизни Так что не так долго ждать
чтобы восстановить ваши файлы вам нужно сделать следующее >
- Посетите этот сайт http://daftoraytg.com/  Для дешифрования файлов
- отправить 30 $ = 0,0700 Bitcoin на этот Счет >> 14CcrhERkVWkJoiE15vxxxxxxxxxxxxxxx, а затем свяжитесь по этому адресу silentshades@protonmail.com

Почему RSA-4096 опасно?
После того, как RSA-4096 пробирается в вашу систему начинается процесс шифрования и маскирует все, что вы сохранили на вашем компьютере. Каждый файл, каждая фотография, каждое видео, музыка, документы вирус шифрует все кроме системных файлов. вы не можете открыть или восстановить ваши данные! Он держит их в вашей досягаемости, но не позволяет получить к ним доступа.

ПРИМЕЧАНИЕ
- 100% вы будете иметь все ваши файлы обратно, если вы выполните 1 или 2 условие
- В течении (96) часов ключи для расшифровки файлов будут удалены из нашей базы данных
- После того как вы сделали то что от вас требуется, Откройте Decrypter его вы получите на указанном выше сайте. после вам нужно вставить свой id и порграмма восстановит все файлы
- ID Подробности (вы найдете его на [/ Desktop или / Загрузка или / Documents] )
============================

Оригинальное содержание так называемого "русского" текста записки сохранено полностью. 
Делегирование домена daftoraytg.com, указанного в тексте о выкупе, уже приостановлено. 

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3gp, .7z, .aac, .AAC, .ach, .ai, .apk, .ar, .arw, .asf, .asp, .asx, .avi, .AVI, .back, .bak, .bay, .bz2, .c, .cdr, .cer, .cpp, .cr2, .crt, .crw, .cs, .cs, .CSS, .csv, .db, .dbf, .dcr, .dds, .der, .des, .dng, .doc, .docm, .docx, .dtd, .dwg, .dxf, .dxg, .eml, .eps, .ert, .fla, .fla, .flac, .flv, .FLV, .fon, .gif, .gz, .h, .hpp, .html, .html, .ico, .iif, .indd, .ini, .ipe, .ipg, .jar, .java, .JNG, .jp2, .jpeg, .jpg, .JPG, .jsp, .kdc, .key, .log, .lua, .lz, .m, .m4a, .m4v, .max, .mda, .mdb, .mdf, .mef, .mhtml, .MKV, .mov, .MP2, .mp3, .mp4, .MP4, .MP4, .mpe, .mpeg, .mpg, .mpg, .mrw, .msg, .myo, .nd, .nef, .nk2, .nrw, .oab, .obi, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, .pab, .pas, .PC1, .PC2, .PC3, .pct, .pdb, .pdd, .pdf, .pem, .per, .pfx, .php, .pl, .png, .PNS, .PPJ, .pps, .ppt, .pptm, .pptx, .prf, .ps, .psd, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .raw, .rm, .rss, .rtf, .rw2, .rwl, .rz, .s7z, .sql, .sr2, .srf, .str, .swf, .tar, .text, .txt, .vb, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xhtml, .xlk, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xml, .yuv, .zip, .zipx (всего 195 расширений). 

Перед запуском процесса шифрования BlackShades определяет IP-адрес пользователя, обращаясь к сайту http://icanhazip.com, а чтобы проверить соединение с Интернетом, вредонос обращается к Google.com.

В этой особенности Black Shades кроется простой способ борьбы с ним. Достаточно отредактировать файл hosts и добавить в него строку 127.0.0.1 www.icanhazip.com. Если криптовымогатель не сможет соединиться с icanhazip.com, то аварийно завершит работу и выведет сообщение об ошибке (на иллюстрации ниже). Таким образом, работа это шифровальщика прервется, не успев начаться.

Файлы, связанные с BlackShades Crypter Ransomware:
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Hacked_Read_me_to_decrypt_files.Html
%UserProfile%\AppData\Roaming\Windows\win.exe
YourID.txt
Ваш идентификатор
Hacked_Read_me_to_decrypt_files.Html

Записи реестра, связанные с BlackShades Crypter Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Driver"="%UserProfile%\AppData\Roaming\Windows\win.exe" /autostart"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\Setup\Generalize "DisableSR" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

UltraCrypter

UltraCrypter Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью ключа RSA-4096 (алгоритм шифрования AES-256, CBC-режим), а затем требует выкуп в 1.2 биткоина за дешифровщик UltraDeCrypter. Если выкуп не уплачен в отведённое время (96 часов), то его сумма удваивается до 2.4 BTC. К зашифрованным файлам добавляется расширение .cryp1

© Генеалогия: CryptXXXUltraCrypter 

  UltraCrypter является по сути обновлённой версией CryptXXX, потому почти идентичен. Вымогатели предлагают дешифровать один файл бесплатно, чтобы доказать реальность дешифровки файлов. 

  После успешного шифрования UltraCrypter создаёт три файла с текстом о выкупе: 
bmp-файл - изображение с текстом, заменяет собой обои Рабочего стола; 
txt-файл и html-файл - записки о выкупе с одинаковым названием [Victim’s personal ID] (персональный ID жертвы). 

  Эти файлы расположены в каждой папке с зашифрованными файлами, а также в папке автозагрузки пользователя, чтобы отображаться всякий раз при входе пользователя в систему. Файлы содержат информацию о том, как получить доступ к платёжному сайту и получить файлы обратно.



  Распространяется через email-спам с вредоносным вложением или ссылками на заражённые веб-сайты с набором эксплойтов Angler. Заголовок письма призван обмануть получателя и открыть письмо якобы от судоходной компании DHL или FedEx. Излишне любопытные и неосторожные получатели торопятся открыть письмо, а потом и прикреплённый файл или перейти по ссылке на вредоносный сайт. 

Степень распространенности: перспективно высокая.
Подробные сведения собираются. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptXXX)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 BleepingComputer
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 30 мая 2016 г.

LeChiffre

LeChiffre Ransomware

Variants: LeChiffre 2016-2020

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные с помощью алгоритма Blowfish, а затем требует выкуп, чтобы вернуть файлы обратно. Название происходит от французского слова "шифр". Известен с июня 2015 года. Главным образом ориентирован на сервера и компании. 

К зашифрованным данным добавляется расширение .lechiffre

  Устанавливается вручную на взломанных с помощью удаленного рабочего стола или служб терминалов серверах. После взлома сервера хакеры вручную запускают исполняемый файл LeChiffre.exe для шифрования данных, а затем, после выхода, удаляют все следы своей программы. 

  Записка с требованием выкупа называется _How to decrypt LeChiffre files.html и размещается в папках с зашифрованными файлами. 

LeChiffre Ransomware шифровальщик, шифратор

  В записке о выкупе указан email-адрес decrypt.my.files@gmail.com, который нужен для связи с вымогателями, чтобы получить инструкции по оплате. Примечательно, что если жертва не нуждается в своих файлах сейчас или нет денег на выкуп, то можно подождать 6 месяцев и получить файлы обратно бесплатно. 

  Инсталлятором является файл LeChiffre.exe с известной для Рунета иконкой программы 1С.

После его запуска открывается следующее окно с русскоязычными надписями. 

LeChiffre Ransomware шифровальщик, шифратор

Работа по шифрованию начинается с нажатия кнопки Пуск — шифровальщик запускается, сканирует все доступные диски и шифрует файлы с заданными расширениями. 

Технические детали

Может распространяться путем взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

✋ LeChiffre Ransomware ориентирован на сервера и компании, поэтому необходимо использовать именно серверную и комплексную защиту. Бесплатный антивирус или средство защиты для домашних компьютеров НЕ ЗАЩИТЯТ ВАШ СЕРВЕР И КОМПАНИЮ. 


Список файловых расширений, подвергающихся шифрованию: 
.001, .900, ... .db, .doc, .docx, ... .jpeg, .jpg, .pdf, .png, ... .rar, ... .xls, .xls, .zip

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, серверные элементы управления HTML и пр.

Файлы, связанные с этим Ransomware: 
_How to decrypt LeChiffre files.html
LeChiffre.exe
LeChiffreDecrypt.exe

Степень распространенности: средняя.
Подробные сведения собираются. 




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 июня 2016: 
Пост в Твиттере >>
Email: lechiffre@india.com и lechiffre@mailchuck.com
Записка: _how to decode[PC-NAME].txt



Обновление от 18 сентября 2016:
Расширение: .LeChiffre

Обновление от 30 октября 2016:
Топик на форуме >>
Расширение: .LeChiffre
Записка: _how to decodeMX.txt
E-mail: lechiffre@india.com, lechiffre@mailchuck.com
Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

LeChiffre Ransomware шифровальщик, шифратор

➤ Содержание записки:

qxKKjMa5gceDlbtVY3fFsp0q*** [всего 172 знака]
==================
end of secret_key
Hello. 
Your some files were encrypted with the strongest cipher RSA 1024 and AES.
No one will help you to restore files without our decoder. Any programs for
recovering files or disk repair are useless and can destroy your files
irreversibly. Irreversibly. So don't try to decrypt it yourself. We warned you.
There is only one way to restore your files - send e-mail to lechiffre@india.com
with attached file "_how to decode[MX].txt" (you read this file right now).
To test our honesty you can send an one encrypted file less than 4 MB (not zipped)
as *.doc *.xls *.jpg *.pdf, but not database file or backup file 
(*.900 *.001 *.db *.zip *.rar *.bkp etc).
We will decode your sample for free.
You will receive deciphered sample and our conditions how you will get the
decoder. Follow the instructions to send the payment. Be attentive! The decoder
for each server is paid separately.
P.S. Remember, we are not scammers. We don`t need your files. If you want, you
can get the password for free after 6 month wait.
Just send a request immediately after infection and download the decoder.
All data will be restored absolutely. 
Our guarantee of honesty - your deciphered sample. 
E-mail: lechiffre@india.com
E-mail: lechiffre@mailchuck.com
Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

Обновление от 6 января 2017:
Расширение: .LeChiffre
Записка: _how to decode[VIVASBSSERVER].txt
Email: lechiffre@india.com, lechiffre@mailchuck.com
Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

LeChiffre Ransomware шифровальщик, шифратор




Обновление от 9 июня 2020: 
Расширение: .QLZWVR_LeChiffre
Записка: QLZWVR_LeChiffre_ReadMe.txt
Telegram: @isres
https://t.me/isres
Email: lechiffre@firemail.cc, lechiffre@mailchuck.com
Bitmessage: BM-2cTTNY8gzaTxEoPDs9P1jaSRPdit9n8G65

LeChiffre Ransomware шифровальщик, шифратор

➤ Содержание записки:
hello.
to recover your files, send any message to:
telegram  messenger: 
https://t.me/isres
@isres
or
email: 
lechiffre@firemail.cc
reserve method of communication:
email:
lechiffre@mailchuck.com
usually the answer is 1-10min. If there is no answer,
check the spam folder or write from another email where there is no spam filtering.
super reserve method of communication:
bitmessage messenger: 
BM-2cTTNY8gzaTxEoPDs9P1jaSRPdit9n8G65
download the messenger: https://bitmessage.org/wiki/Main_Page
in the response, you will receive instructions.
Have a nice day!




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as LeChiffre)
 Write-up, Topic of Support
 ***
Внимание!
Для зашифрованных файлов есть дешифровщик.
Скачать Emsisoft Decryptor for LeChiffre можно по этой ссылке >>
Он работает только с файлами, зашифрованными до его выпуска. 
По новым случаям шифрования, пишите на форум Emsisoft >>

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

воскресенье, 29 мая 2016 г.

Gomasom

Gomasom Ransonware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы обратно. 

© Генеалогия: Gomasom > RotorCrypt

Этимология названия: 
Название "Gomasom" получено путем сложения начальных букв словосочетания GOogle MAil ranSOM, потому что для выкупа использовались email-адреса почтовой службы Gmail. 

Зашифрованные файлы в добавление к оригинальному имени получают расширение, созданное по схеме "original_filename.extension" + !___*email*@gmail.com__.crypt, где под *email* скрывается логин вымогателя в почте Gmail. Например, crydhellsek, т.е. в результате к файлам прибавится расширение !___crydhellsek@gmail.com__.crypt 

Email-адреса из такого расширения служат для связи между жертвой и злоумышленниками.
Пример зашифрованного файла: Tulips.jpg!___prosschiff@gmail.com_.crypt

Адреса email вымогателей:
crydhellsek@gmail.com
cryphelp963@gmail.com
helpsend369@gmail.com
panerai794@gmail.com
prosschiff@gmail.com

 Записки о выкупе (текстовые и изображения) называются: 
de_crypt_readme.txt 
de_crypt_readme.html
de_crypt_readme .bmp
de_crypt_readme.png

  После установки Gomasom создаёт вредоносный исполняемый файла со случайным именем в C:\Users\User\AppData\Local\Microsoft Help\ и прописывается в Автозагрузку Windows. Далее он шифрует не только пользовательские, но и исполняемые файлы, из-за чего многие приложения становятся недоступными. 

Файлы, созданные Gomasom:
%LocalAppData%\Microsoft Help\<random>.exe

Записи реестра, созданные Gomasom:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ "C:\Users\User\AppData\Local\Microsoft Help\<random>.exe"
HKCU\Software\<random>

  Одним из признаков того, что есть заражение ПК этим видом вымогателя, может являться неожиданное уведомление Windows о том, что имеются файлы для записи на диск. 

Это произойдет из-за того, что Windows обнаружит, что содержимое папки, используемой для записи файлов изменилось. Даже если там нет ничего, кроме скрытого системного файла desktop.ini, который был зашифрован, то появится уведомление о том, что файлы должны быть записаны, как на картинке ниже. 

Такое поведение замечено исследователем безопасности Лоуренсом Адамсом при проведении тестов с Gomasom, TeslaCrypt, Chimera и Fulba Ransomware. 

Степень распространенности: средняя.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер.

четверг, 26 мая 2016 г.

DMA Locker 4.0

DMA Locker 4.0 Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (режим ECB, RSA-2048 ключ; ключ генерируется случайным образом для каждого файла, шифруется RSA и сохраняется в файле), а затем требует выкуп в 1-2 (~$ 440 за 1 BTC на 24 мая 2016 г.), чтобы вернуть файлы обратно. C 25 мая уже 3 BTC, с 26 мая - 4 BTC. Аппетиты вымогателей ужасающе растут. 

© Генеалогия: DMALocker 1.0, 2.0, 3.0DMALocker 4.0 > DMALocker NextGen (XTP Locker 5.0)

  К зашифрованным файлам никакое специальное расширение не добавляется, но вместо этого добавляется префикс !DMALOCK4.0 в заголовок зашифрованного файла. В остальном имя файла остается прежним. Можно проверить файл в шестнадцатеричном редакторе и первые 9 байт будут содержать строку !DMALOCK4. По этому признаку можно опознать "работу" криптовымогателя. Шифруются почти все системные и пользовательские файлы на всех локальных, внешних и сетевых дисках. 

  Текстовый вариант записки о выкупе называется cryptinfo.txt, он сохраняется в папке Program Data и отображается при загрузке Windows. Экран блокировки (файл cryptinfo.png) см. ниже. Он ставится в качестве обоев Рабочего стола. 
 

  Email вымогателя, указанный на экране блокировки и в записках, dma4004@zerobit.en 


Технические детали

  Распространяется с помощью email-спама и вредоносных вложений, фишинг-рассылок и ссылок на зараженные эксплойтами сайты, через вредоносный JavaScript, поддельные обновления Adobe Flash Player. А также при помощи набора эксплойтов Neutrino, который эксплуатирует уязвимости в компонентах Java Runtime Environment Oracle. 

  При целевых атаках на организации сумма выкупа может быть гораздо выше и уже в долларах. Такое многообразное распространение и поддержка уже 4-й версии может говорить только о развертывании широкомасштабных и целенаправленных атак. Потому степень распространенности с учетом этих показателей — высокая.  

  Запустившись в первый раз на ПК, DMA Locker 4.0 проверяет какие процессы и приложения используются для резервного копирования данных и восстановление системы, и завершает их работу. Теневые копии файлов удаляются. 

  DMA Locker 4.0 получил веб-сайт, где объясняется, как заплатить выкуп. Примечательно, что сумма выкупа на этом сайте может отличаться от затребованной.  

 В программном плане исследователями замечены некоторые недостатки в работе этого вымогательского ПО и его декриптера, что может говорить о том, что создатели вредоноса работают на скорую руку. В связи с этим, в скором времени следует ожидать появления 5-й версии вымогателя, где недостатки 4-й версии будут, наверняка, исправлены. Мы намеренно их не озвучиваем, чтобы не помогать вымогателям делать своё черное дело. 

Степень распространенности: перспективно высокая.
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *