Если вы не видите здесь изображений, то используйте VPN.

пятница, 10 июня 2016 г.

CryptFIle2

CryptFIle2 Ransomware

(шифровальщик-вымогатель) 

Translation into English


   Этот криптовымогатель шифрует данные пользователей с помощью RSA, а затем требует написать на email вымогателей, чтобы узнать условия дешифровки файлов. Сумма выкупа может различаться, от 0.5 до 1.5 биткоина. 

© Генеалогия: CryptoMix > CryptFIle2

CryptFIle2  распространялся с середины марта 2016 года с помощью наборов эксплойтов Nuclear и Neutrino. 

  К зашифрованым файлам добавляется составное расширение .id_[personal_ID]_[ransom_email].scl, на конце которого .scl

Где "personal_ID" — это 16-символьная строка, состоящая из строчных букв и цифр, а "ransom_email" — электронная почта, на которую пострадавший пользователь должен написать, чтобы дешифровать файлы. 

Примеры зашифрованных и переименованных файлов см. ниже:
file.txt.id_a0d01d07e030f060_email_xerx@usa.com.scl
settings.xml.id_a0d01d07e030f060_email_xerx@usa.com.scl

  Записки с требованием выкупа называются HELP_YOUR_FILES.HTML и HELP_YOUR_FILES.TXT и сохраняются на рабочем столе и в папках с зашифрованными файлами.
Содержание TXT-записки о выкупе:
NOT YOUR LANGUAGE? USE hxxps://translate.google.com
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048. More information about the encryption keys RSA-2048 can be found here: hxxp://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen?
!!!Specially foryour PC was generated personal RSA-2048 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our Secret Server.
What do I do?
So, there are two ways you can choose: wait for a miracle and get your pride doubled, or start obtaining BITCOIN NOW!, and restore your data easy way. If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
For more specific instructions:
Contact is by email only, send us an email along with your ID number and wait for further instructions. Our specialist will contact you within 12 hours. For you to be sure, that we can decrypt your files - you can send us a single encrypted file and we will send you back it in a decrypted form. This will be your guarantee.
E-MAILi: pchelp_@_post.com
E-MAIL2: xerx_@_usa.com
YOURJD: ***

Перевод записки на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com 
Что случилось с файлами?
Все ваши файлы защищены сильным шифрованием RSA-2048. Подробную информацию об использовании ключей шифрования RSA-2048 можно найти здесь: http://en.wikipedia.org/wiki/RSA_ (cryptosystem) 
Как это случилось? 
!!! Специально для вашего ПК был создан личный RSA-2048 ключ, публичный и частный. 
!!! Все ваши файлы зашифрованы с помощью открытого ключа, который передан на компьютер через Интернет. 
!!! Дешифровка возможна только с помощью секретного ключа и декриптера, который находится на нашем секретном сервере. 
Что мне делать? 
Итак, есть два способа, которые можно выбрать: ждать чуда и увеличения цены в 2 раза, или начать получать Bitcoin Now!, и легко вернуть данные. Если у Вас есть очень ценные данные, то лучше не тратить свое время, т.к. нет иного пути, чтобы получить ваши файлы, кроме оплаты выкупа. 
Более подробные инструкции: 
Свяжитесь с нами по email, отправив письмо с номером ID и ждите дальнейших указаний. Наш специалист свяжется с вами в течение 12 часов. Для вашей уверенности, что мы можем расшифровать ваши файлы - вы можете отправить нам 1 зашифрованный файл, и мы вышлем Вам его в расшифрованной форме. Это будет ваша гарантия. 
E-Mail1: pchelp_@_post.com 
E-Mail2: xerx_@_usa.com
Ваш_ID: ***


Технические детали

CryptFIle2 начал распространяться с середины марта 2016 года с помощью наборов эксплойтов Nuclear и Neutrino. Как и во вредоносных кампаниях с предыдущими итерациями, поставщиками шифровальщика могут выступать ботнеты, например, Kelihos (Waledac).

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
 cmd.exe /C vssadmin Delete Shadows /For=A: /All /Quiet
 vssadmin.exe vssadmin Delete Shadows /For=A: /All /Quiet
 cmd.exe /C net stop vss
 net.exe net stop vss
 net1.exe %WINDIR%\system32\net1 stop vss
 cmd.exe /C bcdedit /set {default} recoveryenabled No
 bcdedit.exe bcdedit /set {default} recoveryenabled No
 cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
 bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
 cmd.exe bcdedit /set {default} recoveryenabled No
 cmd.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
 cmd.exe bcdedit /set bootstatuspolicy ignoreallfailures

 Шифруются файлы всех популярных форматов: документы, аудио-видео, изображения и мн. др., всего 1207 расширений: 

Неполный список файловых расширений, подвергающихся шифрованию:
.1bf, .3g2, .3gp, .7z, .ab4, .ach, .adb, .ads, .ait, .al, .apj, .apk, .arch00, .asf, .asm, .asp, .asset, .asx, .back, .bank, .bar, .bc6, .bc7, .bgt, .big, .bik, .bkf, .bkp, .blob, .bpw, .bsa, .c, .cas, .cdf, .cdr, .cdx, .ce1, .ce2, .cer, .cfp, .cfr, .cgn, .class, .cnt, .cpi, .cpp, .craw, .crt, .crw, .cs, .csh, .csl, .csu, .d3dbsp, .dac, .das, .dazip, .db0, .dba, .dbr, .dcs, .ddd, .der, .des, .desc, .dgc, .dng, .dnp, .drf, .dtd, .dxg, .ebd, .els, .enl, .epk, .esn, .exf, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flu, .fn, .forge, .fos, .fpk, .fsh, .gho, .gray, .grey.grw, .gry., .h, .hkdb, .hkx, .hplg, .hpp., .hupl, .ibd, .icxs, .iif, .indd, .itdb, .itl, .itn, .iwd, .jaua, .js, .key, .laccdb, .layout, .litenod, .lrf, .lua, .lul, .m, .m2, .m4a, .m4u, .maf, .man, .mar, .maw, .mcmeta, .mdc, .mde, .mfu, .mix-kf, .mniw, .mp4, .mpg, .mpp, .mpqge, .n3u, .nap, .ncf, .ndbackup, .ndd, .nddata, .nef, .nenu, .nk2, .nou, .nrw, .nsd, .nsg, .nsh, .nso, .ntjb, .ntl, .nx1, .nx2, .ode, .odf, .odg, .odp, .ods, .oil, .one, .oth, .otp, .ots, .p12, .p7b, .p7c, .pak, .pas, .pat, .pbo, .pcd, .pen, .pet, .pfx, .php, .pi, .pic, .pip, .pkpass, .pot, .potn, .potx, .ppan, .pps, .ppsn, .ppsx, .prf, .ps, .psafe3, .psk, .pspinage, .pub, .puz, .py, .qba, .qbw, .qdf, .r3d, .raf, .rar, .rat, .raw, .rb, .re4, .rgs, .rim, .rn, .rof1, .rwz, .s3a, .sas7bdat, .say, .sb, .scan, .sd0, .sda, .sid, .sidd, .sidn, .sie, .sin, .sis, .snp, .snx, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stx, .sun, .sxc, .sxi, .sxm, .syncdb, .t12, .t13, .tax, .tor, .ucf, .udf, .ufs0, .unrec, .uob, .upk, .upppc, .usd, .usx, .utf, .utx, .w3x, .wallet, .wau, .wb2, .wll, .wma, .wmu, .wno, .wotreplay, .wpd, .x11, .xla, .xlan, .xlb, .xlc, .xll, .xlm, .xlr, .xlsb, .xlsm, .xlt, .xltm, .xltx, .xlw, .xpp, .xsn, .xxx, .yuu, .zip, .ztnp (287 расширений в раннем образце). 

Наиболее полный список файловых расширений:
.0, .1cd, .1pa, .1st, .2bp, .36, .3dm, .3ds, .3fr, .3g2, .3gp, .411, .4db, .4dl, .4mp, .73i, .7z, .8xi, .9png, .a3d, .aaa, .ab4, .abm, .abs, .abw, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .access_denied, .accft, .ach, .act, .adb, .adn, .adp, .ads, .aesir, .af2, .af3, .aft, .afx, .agif, .agp, .ahd, .ai, .ai, .aic, .aif, .aim, .ait, .al, .albm, .alf, .ani, .ans, .apd, .apj, .apk, .apm, .apng, .aps, .apt, .apx, .arch00, .art, .artwork, .arw, .asc, .ascii, .ase, .asf, .ask, .asm, .asp, .asset, .asw, .asx, .asy, .aty, .avatar, .awdb, .awp, .awt, .aww, .axx, .azz, .back, .backup, .bad, .bak, .bank, .bar, .bay, .bbs, .bc6, .bc7, .bd, .bdb, .bdp, .bdr, .bean, .better_call_saul, .bgt, .bib, .big, .bik, .bkf, .bkp, .blend, .blkrt, .blob, .bm2, .bmp, .bmx, .bmz, .bna, .bnd, .boc, .bok, .bpw, .breaking_bad, .brk, .brn, .brt, .bsa, .bss, .btd, .bti, .btr, .byu, .bzabw, .c, .c4, .c4d, .cal, .cals, .can, .cas, .ccc, .cd5, .cdb, .cdc, .cdf, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .cdx, .ce1, .ce2, .cer, .cerber, .cerber2, .cerber3, .cerber4, .cerber5, .cf, .cfg, .cfp, .cfr, .cfu, .cgm, .chart, .chord, .cimg, .cin, .cit, .ckp, .class, .clkw, .cls, .cma, .cmt, .cmx, .cnm, .cnt, .cnv, .colz, .coverton, .cpc, .cpd, .cpg, .cpi, .cpp, .cps, .cpt, .cpx, .cr2, .craw, .crd, .crt, .crw, .crwl, .cryp1, .crypt, .crypted, .cryptolocker, .cryptowall, .crypz, .crysis, .cs, .csh, .csl, .css, .csv, .csy, .ct, .cv5, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .d3dbsp, .dac, .daconnections, .dacpac, .dad, .dadiagrams, .daf, .das, .daschema, .dat, .dazip, .db, .db0, .db2, .db3, .dba, .dbc, .dbf, .dbk, .dbr, .dbs, .db-shm, .dbt, .dbv, .db-wal, .dbx, .dc2, .dca, .dcb, .dcr, .dcs, .dct, .dcx, .ddd, .ddl, .ddoc, .dds, .ded, .der, .des, .desc, .design, .df1, .dgc, .dgn, .dgs, .dgt, .dharma, .dhs, .dib, .diz, .djv, .djvu, .dm3, .dmi, .dmo, .dmp, .dnc, .dne, .dng, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dp1, .dpp, .dpx, .dqy, .drf, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dtd, .dtsx, .dtw, .dvi, .dvl, .dwg, .dx, .dxb, .dxf, .dxg, .dxl, .ebd, .ecc, .ecml, .eco, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .email, .emd, .emf, .eml, .emlx, .enciphered, .encrypt, .encrypted, .enigma, .ep, .epf, .epk, .epp, .eps, .epsf, .eql, .erf, .err, .esm, .etf, .etx, .euc, .exf, .exr, .exx, .ezz, .fadein, .fal, .faq, .fax, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .ff, .ffd, .fff, .fft, .fh, .fh10, .fh11, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fhd, .fic, .fid, .fif, .fig, .fil, .fim, .fla, .flac, .flc, .fli, .flr, .flv, .fm, .fm5, .fmp, .fmp12, .fmpsl, .fmv, .fodt, .fol, .forge, .fos, .fountain, .fp3, .fp4, .fp5, .fp7, .fpk, .fpos, .fpt, .fpx, .frt, .fsh, .ft10, .ft11, .ft7, .ft8, .ft9, .ftn, .fwdn, .fx0, .fx1, .fxc, .fxg, .fxr, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gdraw, .gem, .geo, .gfb, .gfie, .ggr, .gho, .gif, .gih, .gim, .gio, .glox, .gmbck, .gmspr, .good, .gpd, .gpn, .gray, .grey, .gro, .grob, .grs, .grw, .gry, .gsd, .gthr, .gtp, .gv, .gwi, .gz, .h, .hbk, .hdb, .hdp, .hdr, .heisenberg, .hht, .his, .hkdb, .hkx, .hpg, .hpgl, .hpi, .hpl, .hplg, .hpp, .hs, .htc, .html, .hvpl, .hwp, .hz, .i3d, .ib, .ibd, .icn, .icpr, .icxs, .idc, .idea, .idx, .igt, .igx, .ihx, .iif, .iil, .iiq, .imd, .indd, .info, .ink, .int, .ipf, .ipx, .itc2, .itdb, .itl, .itm, .itw, .iwd, .iwi, .j, .j2c, .j2k, .jarvis, .jas, .java, .jb2, .jbig, .jbig2, .jbmp, .jbr, .jfif, .jia, .jis, .jng, .joe, .jp1, .jp2, .jpe, .jpeg, .jpg, .jpg2, .jps, .jpx, .jrtf, .js, .jtf, .jtx, .jwl, .jxr, .k2p, .kdb, .kdbx, .kdc, .kdi, .kdk, .kes, .key, .kf, .kic, .klg, .knt, .kon, .kpg, .kwd, .laccdb, .latex, .layout, .lbf, .lbm, .lbt, .lechiffre, .lgb, .lgc, .lis, .lit, .litemod, .ljp, .lmk, .lnt, .locked, .locky, .log, .lol!, .lp2, .lrc, .lrf, .lst, .ltr, .ltx, .lua, .lue, .luf, .lvl, .lwo, .lwp, .lws, .lxfml, .lyt, .lyx, .m, .m2, .m3d, .m3u, .m4a, .m4v, .ma, .mac, .maf, .mam, .man, .map, .maq, .mar, .mat, .maw, .max, .mb, .mbm, .mbox, .mcl, .mcmeta, .md5txt, .mdb, .mdbackup, .mdbhtml, .mdc, .mddata, .mde, .mdf, .mdn, .mdt, .me, .mef, .mell, .menu, .mft, .mfw, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .micro, .min, .mkv, .mlx, .mmat, .mmw, .mng, .mnr, .mnt, .mobi, .mos, .mov, .movie, .mp3, .mp4, .mpf, .mpg, .mpo, .mpp, .mpqge, .mrg, .mrw, .mrwref, .mrxs, .msg, .mso, .mt9, .mte, .mud, .mwb, .mwp, .mx0, .mxl, .myd, .myl, .ncf, .ncr, .nct, .nd, .ndd, .ndf, .nef, .nfo, .njx, .nk2, .nlm, .notes, .now, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nv2, .nwb, .nwctxt, .nx1, .nx2, .nyf, .nzb, .obj, .oc3, .oc4, .oc5, .oce, .oci, .ocr, .odb, .odc, .odf, .odg, .odin, .odm, .odo, .odp, .ods, .odt, .ofl, .oft, .oil, .omf, .one, .openbsd, .oplc, .oqy, .ora, .orf, .ort, .orx, .ota, .otg, .oth, .oti, .otp, .ots, .ott, .ovp, .ovr, .owc, .owg, .oyx, .ozb, .ozj, .ozt, .p12, .p7b, .p7c, .p7s, .p96, .p97, .pages, .pak, .pal, .pan, .pano, .pap, .pas, .pat, .pbm, .pbo, .pc1, .pc2, .pc3, .pcd, .pcd, .pcs, .pct, .pcx, .pdb, .pdd, .pdf, .pdm, .pdn, .pe4, .pef, .pem, .pfd, .pff, .pfi, .pfs, .pfv, .pfx, .pgf, .pgm, .phm, .php, .pi1, .pi2, .pi3, .pic, .pict, .pip, .pix, .pjpeg, .pjpg, .pjt, .pkpass, .pl, .pl, .plantuml, .plc, .plt, .pm, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .prt, .prw, .ps, .psafe3, .psd, .psdx, .pse, .psid, .psk, .psp, .pspbrush, .pspimage, .pst, .psw, .ptg, .pth, .ptx, .pu, .pub, .puz, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .py, .pz3, .pza, .pzp, .pzs, .qba, .qbbackup, .qbi, .qbo, .qbp, .qbr, .qbsdk, .qbt, .qbw, .qbwin, .qby, .qdf, .qdl, .qmg, .qpd, .qpx, .qry, .qsm, .qss, .qst, .qvd, .qwc, .r3d, .r5a, .rad, .raf, .rar, .ras, .rat, .raw, .raw, .rb, .rctd, .rcu, .rdb, .rdl, .re4, .readme, .rft, .rgb, .rgf, .rgss3a, .rib, .ric, .riff, .rim, .ris, .rix, .rle, .rli, .rm, .rng, .rofl, .rpd, .rpf, .rpt, .rri, .rrk, .rs, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .rtp, .rtx, .run, .rw2, .rwl, .rwz, .rzk, .rzn, .s2mv, .s3m, .saf, .safetext, .sai, .sam, .sas7bdat, .save, .say, .sb, .sbf, .scad, .scan, .scc, .sci, .scm, .scriv, .scrivx, .sct, .scv, .scw, .sd0, .sda, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .set, .sfc, .sfera, .sfw, .sgm, .sid, .sidd, .sidn, .sie, .sig, .sis, .sk1, .sk2, .skcard, .skm, .sla, .slagz, .sld, .sldasm, .slddrt, .sldprt, .slm, .sls, .smf, .smil, .sms, .snagitstamps, .snagstyles, .snp, .snx, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .ssa, .ssfn, .ssk, .st, .st4, .st5, .st6, .st7, .st8, .stc, .std, .ste, .sti, .stm, .stn, .stp, .str, .strings, .stw, .stx, .sty, .sub, .sum, .sumo, .sva, .svf, .svg, .svgz, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .syncmanagerlogger, .t12, .t13, .t2b, .tab, .tar, .tax, .tb0, .tbn, .tcx, .tdf, .tdt, .te, .teacher, .temp1234, .tex, .text, .tfc, .tg4, .tga, .thm, .thp, .thumb, .tif, .tiff, .tjp, .tlb, .tlc, .tm, .tm2, .tmd, .tmp, .tmv, .tmx, .tn, .tne, .tor, .tpc, .tpi, .trelby, .trm, .ttt, .tvj, .txt, .u3d, .u3i, .udb, .ufo, .ufr, .uga, .unauth, .unity, .unrec, .unx, .uof, .uot, .upd, .upk, .usertile-ms, .usr, .utf8, .utxt, .v12, .v30, .vault, .vbr, .vcf, .vct, .vda, .vdb, .vdf, .vec, .vff, .vfs0, .vml, .vnt, .vob, .vpd, .vpe, .vpk, .vpp_pc, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vsx, .vtf, .vtx, .vue, .vvv, .vw, .w3x, .wallet, .wav, .wb1, .wb2, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wflx, .wgz, .wire, .wll, .wma, .wmdb, .wmf, .wmo, .wmv, .wn, .wotreplay, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .wsc, .wsd, .wsh, .wtx, .wvl, .x, .x11, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xf, .xhtm, .xla, .xlam, .xlb, .xlc, .xld, .xlf, .xlgc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xmind, .xml, .xmlx, .xmmap, .xpm, .xpp, .xps, .xsn, .xtbl, .xwp, .xxx, .xxx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .ytbl, .yuv, .z3d, .zabw, .zcrypt, .zdb, .zdc, .zepto, .zif, .zip, .ztmp, .zw, .zzzzz (1255 расширений).  

Вполне вероятно, что этот вымогатель стоит в одном ряду клонов криптовымогателя CrypBoss, среди которых HydraCrypt и UmbreCrypt. Находится много сходств при сравнении кода CryptFIle2 с образцом HydraCrypt, но большая часть кода всё же различна. 

Вот некоторые из сходств: 
- сетевой протокол (ключ передается в качестве разделенных запятыми байтов, с проверкой подключения к google.com);
- строка запутывания;
- зашифрованные расширения файлов;
- записка о выкупе (говорится о "гарантии" для получения файлов обратно, предложение расшифровывать один файл, "Email1" и "Email2"  также используются в UmbreCrypt). 

Степень распространённости: средняя
Подробные сведения собираются.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoMix Ransomware
CryptFIle2 Ransomware


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Образец, найденный 12 июня 2019:
Штамп времени: 1 сентября 2019.
Пост в Твиттере >>
Расширение: .scl
Составное расширение: .id_******_email_enc2@dr.com_.scl
Примеры зашифрованных файлов: 
desert.jpg.id_c209caae5e988ade_email_enc2@dr.com_.scl
desktop background.png.id_c23482ca5e988ade_email_enc2@dr.com_.scl
Записки: HELP_DECRYPT_YOUR_FILES.HTML
HELP_DECRYPT_YOUR_FILES.TXT
Email: enc2@dr.com
Результаты анализов: VT + HA + VMR



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as CryptoMix)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 


© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 9 июня 2016 г.

CryFile

CryFile Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует (скорее портит) файлы, а затем вымогает $100, чтобы их восстановить. Шифрование проводится со случайным числом байт из интервала [0-9], которые просто перемещаются с одного места в другое. 

К зашифрованным файлам добавляются следующие расширения: .criptiko, .criptoko, .criptokod, .cripttt, .aga. Ориентирован на русскоязычных пользователей и их адресатов. 

Записки с требованием выкупа называются SHTODELATVAM.txt (Што делать вам) и Instructionaga.txt (Инструкция, ага). 

Текст файла SHTODELATVAM.txt:
Напишите нам для разблокировки
Ваших файлов: dsuoufygfdt@ro.ru

Текст файла Instructionaga.txt:
Для разблокировки Ваших файлов
напишите: odododo@ro.ru

  Распространяется с 2015 года через email-спам и вредоносные вложения, фишинговые сообщения и ссылки на зараженные сайты. 


Шифруются только пользовательские файлы: документы MS Office, pdf, djvu и другие файлы электронных книг, архивы, файлы 1С и другие базы данных, изображения, аудио, видео и пр. 

  Не стоит платить вымогателям, т.к. этот крипто-вымогатель уже дешифруем. 

Есть дешифровщик для зашифрованных CryFile файлов. 
Еще один дешифровщик от Лаборатории Касперского. 

© Amigo-A (Andrew Ivanov): All blog articles. 

понедельник, 6 июня 2016 г.

Russian EDA2

Russian EDA2 Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .locked. Как ясно из названия, криптовымогатель собран на основе криптоконструктора EDA2. 

  Обои рабочего стола заменяются на фоновое изображение от вымогателей с надписью "Файлы на вашем компьютере заблокированы. Инструкцию по расшифровке вы можете найти на своем рабочем столе в файле README.html". 
  Записка с требованием выкупа называется README.html и размещается, как ясно их фразы выше, на рабочем столе. 

Список файловых расширений, подвергающихся шифрованию:
.pdf, .psd, .txt, .rtf, .odt, .doc, .docx, .docm, .djvu, .djv, .rb, .epub, .html, .htm, .asp, .aspx, .php, .phtml, .xls, .xlsx, .xlsm, .csv, .ods, .asm, .c, .h, .cpp, .cxx, .h, ,hpp, .pas, .dpr, .bas, .bbc, .java, .js, .cs, .resx, .ml, .pl, .pm, .php3, .py, .rb, .rbw, .sd7

Степень распространённости: низкая. 
Подробные сведения собираются.

Herbst, Autumn

Herbst (Autumn) Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы обратно. Ориентирован на немецкоязычных пользователей. 

К зашифрованным файлам добавляется расширение .herbst. Название происходит от немецкого слова "der Herbst" — "осень" (англ. Autumn). Оригинальное название: Kryptolocker.

  Записка с требованием выкупа Encrypted.html написана на немецком языке и представляет собой диалоговое окно с формой вставки текстовой информации, необходимой для дешифровки файлов после получения оплаты. 

  Herbst шифрует данные в каталоге StartupPath и папках пользователя Desktop, MyPictures, MyMusic, Personal. Шифруются не только пользовательские, но и исполняемые файлы и даже ярлыки (см. скриншот ниже). 

Перевод записки о выкупе на русский язык: 
Ваш компьютер только что был зашифрован с помощью AES 256, потому любые средства бесполезны, ваши данные только с соответствующим ключом могут быть восстановлены. Вы могли бы данные и сами расшифровать, но на это в настоящее время по техническим меркам уйдёт 100 лет.
Потому мы хотим попросить небольшую разовую плату за ключ дешифрования. Если вы согласны с этим предложением, то мы хотим вас поскорее осчастливить, потому что наше интернет-хранилище ограничено по размерам и, как это не прискорбно, вскоре мы будем вынуждены удалить данные.
Отправьте 0,1 Bitcoin на следующий Bitcoin-адрес, чтобы получить ключ дешифрования. После получения оплаты мы пришлем вам 
Transaktions ID, который нужно вставить в текстовом поле и нажать кнопку Decrypt (Дешифровать).

По данным специалистов Fortinet, которые обнаружили частично недоделанный функционал, этот криптовымогатель скорее всего был выпущен в бета-варианте для изучения способности антивирусов его обнаруживать. 

Список файловых расширений, подвергающихся шифрованию:
.bin, .doc, .docx, .ini, .lnk, .log, .tmp, .txt, .xls, .xlsx, .xml и другие. 

Файлы, связанные с Herbst Ransomware:
Encrypted.html
Kryptolocker.exe
C:\DOCUME~1\User\LOCALS~1\Temp\<random>.tmp
C:\Documents and Settings\User\Local Settings\Temp\<random>.tmp

Записи реестра, связанные с Herbst Ransomware:
См. ниже анализы

Сетевые подключения:
нет

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Manalyzer анализ >>

Степень распространённости: очень низкая. 
Подробные сведения собираются.

суббота, 4 июня 2016 г.

WonderCrypter

WonderCrypter Ransomware

YouGotHacked Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-шифрования, а затем требует выкуп в биткоинах. 

Зашифрованные файлы получают расширение .h3ll

В этом расширении скрыто английское слово "hell" (ад). Название вымогателя "WonderCrypter" переводится с английского как "Чудо-Криптер". 

  Второе название YouGotHacked ("Вы взломаны") принято некоторыми исследователями. Malware-аналитики отмечают, что этот крипто-вымогатель шифрует только первые 64 Кб файлов с использованием сильного алгоритма шифрования.

© Генеалогия: Bitmessage > WonderCrypter 

  Записка с требованием выкупа и инструкциями называется YOUGOTHACKED.TXT (перевод "Вы взломаны"). Для связи с вымогателями нужно использовать мессенджер BitMessenger. 
  Второй файл под названием SECRETISHIDINGHEREINSIDE.KEY (перевод "Секрет скрыт внутри") зашифрован с помощью AES-шифрования, и вероятно содержит ключ дешифровки. Обои на Рабочем столе заменяются на изображение с текстом выкупа. 

Содержание записки о выкупе: 
Hello.
All your files have been encrypted using our extremely strong private key. There is no way to recover them without our assistance.
If you want to get your files back, you must be ready to pay for them. If you are broke and poor, sorry, we cannot help you.
If you are ready to pay, then get in touch with us using a secure and anonymous p2p messenger. We have to use a messenger,
because standard emails get blocked quickly and if our email gets blocked your files will be lost forever.
Go to hxxp://bitmessage.org/, download and run Bitmessage. Click Your Identities tab > then click New > then click OK (this will generate your personal address, you need to do this just once). Then click Send tab. 

TO: BM-2cWJRWHSUdPqW66nRRV4BGTEVe1NKWPiZ3

SUBJECT: name of your PC or your IP address or both.
MESSAGE: Hi, I am ready to pay.
Click Send button. You are done. 

To get the fastest reply from us with all further instructions, please keep your Bitmessage running on the computer 

at all times, if possible, or as often as you can, because Bitmessage is a bit slow and it takes time to send and get messages. If you cooperate and 
follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки на русский язык: 
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. 
Если вы хотите вернуть файлы обратно, то должны заплатить за них. Если вы разорены и бедны, извините, мы не поможем.
Если вы готовы платить, то свяжитесь с нами через безопасный и анонимный p2p-мессенджер. Мы его используем, т.к. обычные email блокируются, а если мы не получим ответ, то ваши файлы будут утеряны.
Перейти к http://bitmessage.org, скачать и запустить Bitmessage. Нажать на Identities > New > кнопку ОК (будет генерирован ваш личный адрес, это делается только один раз). Затем клик на Send.

TO: BM-2cWJRWHSUdPqW66nRRVxxxxxxxxxxxxxxx

SUBJECT: имя вашего ПК или IP-адрес, или оба.
MESSAGE: Привет, я готов платить.
Нажмите кнопку Send.
Вы это сделали.

Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.


Примечательно, что содержание записки о выкупе один в один, как у Bitmessage Ransomware. Вероятно, что за этим стоит одна и та же группа вымогателей. 

Распространяется с помощью вредоносных вложений в email-спам (макросы с документах Word, фальшивые PDF-документы и пр.). 

Попав на компьютер, вредонос оседает в одной из следующих директорий как временный файл с числовым именем, например, 123.temp: 
%Temp% (наиболее вероятный путь)
%AppData%
%Roaming%
%Windows%

Шифруются все пользовательские файлы (документы, изображения, аудио, видео и пр.) на всех подключенных локальных и внешних дисках. 

Степень распространенности: низкая.
Подробные сведения собираются. 

Protected

Protected Ransomware 


   Этот криптовымогатель шифрует данные, а затем требует выкуп в 0,5 биткоинов. К зашифрованным файлам добавляется расширение .protected

Записка с требованием выкупа называется HOW_TO_RESTORE_YOUR_DATA.html 

Содержание записки о выкупе: 
What happened to your files 
All of your data has been encrypted with CryptoWall 3.0
What does this mean?
The data within your files has been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
Decrypting of your files is only possible with the help of the private key and the decription tool, which is available for a small fee.
What do I do?
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
If you remove this program your data will NOT be decrypted, additionally you will loose the opportunity to ever decrypt your files.
How do I decrypt my files?
To receive the decryption tool and the associated decryption key, you will have to pay a fee of 0.5 BTC (Bitcoin) which is equivalent to around $200.
The fee has to be paid within 7 days. If you fail to pay the fee in time, the decyption key will be destroyed and you will loose your files forever!
How do I get Bitcoin?
There's several ways to buy Bitcoin, please have a read through one or multiple of the following guides:
xxxxs://localbitcoins.com/guides/how-to-buy-bitcoins
xxxxs://en.bitcoin.it/wiki/Buying_Bitcoins_%28the_newbie_version%29
Please note: Most of these guides will tell you to create a Bitcoin wallet. You can skip this step and use the provided Bitcoin wallet adress below.
You can copy and paste these links into your browser to open the sites.
The fastest way to buy Bitcoin is to use an Bitcoin ATM, Bitcoin ATM's can be found all over the world, a list / map of Bitcoin ATM's can be found here: xxxx://www.coindesk.com/bitcoin-atm-map/
On some systems this page may take a while to load, please be patient.
When using a Bitcoin ATM we will receive the payment instantly and thus, your files can be decrypted as soon as today!
Where to send the payment to?
Your personal Bitcoin wallet adress: 175zYrgawhpMtqS6nijKoEE7nSa1wKBohG
Please use only this wallet adress when making the payment of 0.5 BTC
What happens after the payment?
After you have made the payment, please click the check payment button below. After successful receipt of payment you will receive the decryption tool and associated decryption key.
Button "Check Payment"
Thanks, have a lovely day.

Перевод на русский язык:
Что случилось с вашими файлами
Все ваши данные были зашифрованы с CryptoWall 3.0
Что это значит ?
Данные в файлах были сильно изменены, вы не сможете работать с ними, читать или видеть их, это как потерять их навсегда, но с нашей помощью вы можете восстановить их.
Дешифровка файлов возможна только с помощью секретного ключа и декриптера, который доступен за небольшую плату.
Что мне делать?
Если вы правда цените ваши данные, то мы предлагаем вам не тратить драгоценное время на поиск других решений, потому что они не существуют.
Если вы удалите эту программу ваши данные не будут расшифрованы, и вы потеряете возможность их дешифровать.
Как дешифровать мои файлы?
Для того, чтобы получить декриптер и связанный с ним ключ дешифровки, вам нужно заплатить выкуп в 0,5 BTC (Bitcoin), который сейчас эквивалентен $ 200.
Выкуп нужно оплатить за 7 дней. Если вы не можете оплатить его вовремя, ключ дешифровки будет уничтожен, и вы потеряете файлы навсегда!
Как получить Bitcoin?
Есть несколько способов, чтобы купить Bitcoin, прочтите одно или несколько этих руководств:
xxxxs://localbitcoins.com/guides/how-to-buy-bitcoins
xxxxs://en.bitcoin.it/wiki/Buying_Bitcoins_%28the_newbie_version%29
Обратите внимание: В этих руководствах рассказывается как создать Bitcoin-кошелек. Вы можете пропустить этот шаг и использовать предоставленный ниже Bitcoin-адрес.
Вы можете скопировать и вставить эти ссылки в адресную строку браузера, чтобы открыть сайты.
Самый быстрый способ купить Bitcoin — использовать Bitcoin ATM, Bitcoin-банкоматы можно найти во всем мире, список Bitcoin банкоматов можно найти здесь: http://www.coindesk.com/bitcoin-atm-map /
На некоторых системах эта страница может долго загружаться, будьте терпеливы.
При использовании Bitcoin-банкомата мы получим оплату немедленно и, так ваши файлы будут расшифрованы сегодня же!
Где отправить платеж?
Ваш персональный Bitcoin-адрес для оплаты: 175zYrgawhpMtqS6nijKoEE7nSa1wKBohG
Пожалуйста, используйте только этот адрес при совершении платежа в размере 0,5 BTC
Что происходит после оплаты?
После того как вы сделали оплату, нажмите на кнопку подтверждения оплаты ниже. После успешного получения оплаты вы получите инструмент для расшифровки и связанного с ним ключа дешифрования.
Кнопка "Check Payment"
Спасибо и прекрасного дня.

Степень распространенности: низкая.
Подробные сведения собираются.

Обновление от 29 ноября 2016:
Файлы: TraxxioSetup.exe
Расширение: .protected 

Результаты анализов: VT

JuicyLemon

JuicyLemon Ransomware

(шифровальщик-вымогатель)


  Этот криптовымогатель шифрует данные, а затем требует выкуп, который сообщается индивидуально по контактам связи. Ориентировочно 1000 € (евро) с выплатой в биткоинах. 

© Genealogy: JuicyLemon > PizzaCrypts

К зашифрованным файлам добавляется расширение, включающее ID жертвы, по схеме: .id-[девять цифр]_. Пример, .id-778215456_

Полностью:
.id-[9_digits_victim’s_ID]_email1_support@juicylemon.biz_email2_provectus@protenmail.com_BitMessage_BM-[BM-address]

Зашифрованные файлы получают в код строку следующего вида: 
1039734717_email1_support@juicylemon.biz_email2_provectus@protonmail.com_BitMessage_BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F, где с легкостью угадываются два email и BM-адрес. 

 Шифруются только пользовательские данные. Системные и программные файлы не трогаются. Также, как у Chimera Ransomware и Bitmessage Ransomware требуется установить мессенджер Bitmessage для связи с вымогателями.

Записка с требованием выкупа называется RESTORE FILES.txt

Содержание записки о выкупе: 
Hello! We inform you that all, absolutely all of your files are encrypted!
But do not despair. Decryption is not possible without our help, our help is not free and costs a certain amount of money.
To begin the process of recovery your files you need to write us an email, attaching an example of an encrypted file.
- Our contacts for communication:
- Primary email: support@juicylemon.biz
- Additional email: provectus@protonmail.com
- Bitmessage:  BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
How To Use Bitmessage see https://youtu.be/ndqIffqCMaM
We encourage you to contact us for all three contacts!
- Very important:
Do not try to decrypt files by third-party decoders otherwise you will spoil files !
Be adequate in dealing with us and we will solve your problem.

Перевод записки на русский язык:
Привет! Сообщаем Вам, что все, абсолютно все ваши файлы зашифрованы!
Но не отчаивайтесь. Дешифровка невозможна без нашей помощи, наша помощь небесплатна и стоит некоторую сумму денег.
Чтобы начать процесс восстановления файлов, надо написать нам на email, приложить 1 зашифрованный файл.
- Наши контакты для связи:
- Первый email: support@juicylemon.biz
- Второй email: provectus@protonmail.com
- Bitmessage: BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
Как использовать Bitmessage см. https://youtu.be/ndqIffqCMaM
Мы рекомендуем Вам связаться с нами по всем трём контактам!
- Очень важно:
Не пытайтесь дешифровать файлы с помощью сторонних декодеров, иначе вы испортите файлы!
Будьте адекватны в общении с нами и мы решим вашу проблему.

Ответное письмо вымогателей:
Hello! The cost of the decoder for you is 1000 (€) euro in bitcoins, for a guarantee of existence the recovery program at us you can send the test file for decoding, after decoding of the test file we will send you requisites for payment of the decoder, and after payment the instruction on decoding and the decoder.

Перевод письма на русский язык:
Привет! Цена декодера для вас 1000 (€) евро в Bitcoin, для гарантии существования у нас программы восстановления пришлите нам 1 зашифрованный файл, после его дешифровки мы вышлем Вам реквизиты для оплаты декодера, а после оплаты инструкцию по дешифровке и декодер.

Список файловых расширений, НЕ подвергающихся шифрованию: 
 .acm .ade .adp .app .asa .asp .aspx .ax .bas .bat .bin .boo .acm .bootmgr .cer .chm .clb .cmd .cnt .cnv .com .cpl .cpx .crt .csh .dll .drv .dtd .exe .fxp .grp .h1s .hlp .hta .ime .inf .ini .ins .isp .its .js .jse  .ksh .lnk .mad .maf .mag .mam .man .maq .mar .mas .sys

Шифровальщик не шифрует файлы со следующими именами, находящие в корне системного диска:
boot.ini
bootmgr
BOOTNXT
BOOTSECT.BAK
Bootfont.bin
NTDETECT.COM
ntldr
NTUSER.DAT
PDOXUSRS.NET

В продуктах Symantec называется Trojan.Ransomcrypt.BB >>

Обновление от 10 июля 2016
Новое расширение: .id-[10_digits_victim’s_ID]_sos@juicylemon.biz

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 2 июня 2016 г.

SilentShade

SilentShade Ransomware 

(BlackShades Crypter) 

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (ключ RSA-4096), а затем требует выкуп в 0.07 BTC ($30), чтобы вернуть файлы обратно. Срок уплаты выкупа - 96 часов. Зашифрованные файлы получают расширение .silent. Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. 

  SilentShade удаляет теневые копии файлов,  добавляет себя в автозагрузку Windows, отключает диспетчер задач и восстановление системы. Может работать как процесс "win.exe". Может распространяться как поддельное видео, поддельные краки и патчи. 

  Записки с требованием выкупа называются   Hacked_Read_me_to_decrypt_files.Html и Hacked.txt. Также создаются и размещаются в папках с зашифрованными данными файлы "YourID.txt" и "Ваш идентификатор", содержащие ID жертвы, который затем нужно предоставить вымогателям. В записке о выкупе создатели криптовымогателя именуют его BlackShades Crypter. Отсюда второе название в заголовке статьи. 
 
1-й вариант HTML-записки
2-й вариант HTML-записки
Записка Hacked.txt

Примечательно, что получены два варианта html-записки о выкупе. Порядок текста немного отличается, но суть та же. 

Оригинальное двуязычное содержание 1-го варианта записки о выкупе: 

You have been struck with Black Shades
All of your files were protected by a strong encryption with RSA-4096

What is RSA-4096?
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Your files will be enqrypted for your life So Dont Wait so long To Restore your files Because YOU CANNOT!!
You Need to Folow One of this Steps:
- Visit this website > http://daftoraytg.com/ and folow the steps to decrypt your files
- Send 30$ = 0.0700 Bitcoin to this Account > 14CcrhERkVWkJoiE15vxxxxxxxxxxxxxxx and then contact silentshades@protonmail.com ...

Why is RSA-4096 dangerous?
After RSA-4096 sneaks into your system, without you even realizing it, it goes to work.
It begins the encryption process and cloaks everything you have stored on your computer. Every file, every photo, every video, music, documents, nothing, is safe.
The infection encrypts everything. You still see it, but you cannot open it. That’s its play. It keeps it right in your reach but doesn’t allow you to access it.

Please note:
- 100% you will have your all files Back ) if you will follow the steps 1 or 2
- After (96) hours the key to decrypt your files will be deleted from our database
After you finshed 1 of your steps open the decrypter porgram and restore your all files wich we will sended to you after our deal
- You can find the ID Detals in [/Desktop or /Downloads or /Documents] folder.
===========================

Ваш компьютер поражен Black Shades
Все файлы были зашифрованы с сильным шифрованием RSA-4096.

Что такое RSA-4096?
Более подробную информацию о даннном типе шифрования с использованием RSA-4096 можно найти здесь: https://ru.wikipedia.org/wiki/RSA
Ваши файлы будут зашифрованы для вашей жизни Так что не так долго ждать
чтобы восстановить ваши файлы вам нужно сделать следующее >
- Посетите этот сайт http://daftoraytg.com/  Для дешифрования файлов
- отправить 30 $ = 0,0700 Bitcoin на этот Счет >> 14CcrhERkVWkJoiE15vxxxxxxxxxxxxxxx, а затем свяжитесь по этому адресу silentshades@protonmail.com

Почему RSA-4096 опасно?
После того, как RSA-4096 пробирается в вашу систему начинается процесс шифрования и маскирует все, что вы сохранили на вашем компьютере. Каждый файл, каждая фотография, каждое видео, музыка, документы вирус шифрует все кроме системных файлов. вы не можете открыть или восстановить ваши данные! Он держит их в вашей досягаемости, но не позволяет получить к ним доступа.

ПРИМЕЧАНИЕ
- 100% вы будете иметь все ваши файлы обратно, если вы выполните 1 или 2 условие
- В течении (96) часов ключи для расшифровки файлов будут удалены из нашей базы данных
- После того как вы сделали то что от вас требуется, Откройте Decrypter его вы получите на указанном выше сайте. после вам нужно вставить свой id и порграмма восстановит все файлы
- ID Подробности (вы найдете его на [/ Desktop или / Загрузка или / Documents] )
============================

Оригинальное содержание так называемого "русского" текста записки сохранено полностью. 
Делегирование домена daftoraytg.com, указанного в тексте о выкупе, уже приостановлено. 

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3gp, .7z, .aac, .AAC, .ach, .ai, .apk, .ar, .arw, .asf, .asp, .asx, .avi, .AVI, .back, .bak, .bay, .bz2, .c, .cdr, .cer, .cpp, .cr2, .crt, .crw, .cs, .cs, .CSS, .csv, .db, .dbf, .dcr, .dds, .der, .des, .dng, .doc, .docm, .docx, .dtd, .dwg, .dxf, .dxg, .eml, .eps, .ert, .fla, .fla, .flac, .flv, .FLV, .fon, .gif, .gz, .h, .hpp, .html, .html, .ico, .iif, .indd, .ini, .ipe, .ipg, .jar, .java, .JNG, .jp2, .jpeg, .jpg, .JPG, .jsp, .kdc, .key, .log, .lua, .lz, .m, .m4a, .m4v, .max, .mda, .mdb, .mdf, .mef, .mhtml, .MKV, .mov, .MP2, .mp3, .mp4, .MP4, .MP4, .mpe, .mpeg, .mpg, .mpg, .mrw, .msg, .myo, .nd, .nef, .nk2, .nrw, .oab, .obi, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, .pab, .pas, .PC1, .PC2, .PC3, .pct, .pdb, .pdd, .pdf, .pem, .per, .pfx, .php, .pl, .png, .PNS, .PPJ, .pps, .ppt, .pptm, .pptx, .prf, .ps, .psd, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .raw, .rm, .rss, .rtf, .rw2, .rwl, .rz, .s7z, .sql, .sr2, .srf, .str, .swf, .tar, .text, .txt, .vb, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xhtml, .xlk, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xml, .yuv, .zip, .zipx (всего 195 расширений). 

Перед запуском процесса шифрования BlackShades определяет IP-адрес пользователя, обращаясь к сайту http://icanhazip.com, а чтобы проверить соединение с Интернетом, вредонос обращается к Google.com.

В этой особенности Black Shades кроется простой способ борьбы с ним. Достаточно отредактировать файл hosts и добавить в него строку 127.0.0.1 www.icanhazip.com. Если криптовымогатель не сможет соединиться с icanhazip.com, то аварийно завершит работу и выведет сообщение об ошибке (на иллюстрации ниже). Таким образом, работа это шифровальщика прервется, не успев начаться.

Файлы, связанные с BlackShades Crypter Ransomware:
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Hacked_Read_me_to_decrypt_files.Html
%UserProfile%\AppData\Roaming\Windows\win.exe
YourID.txt
Ваш идентификатор
Hacked_Read_me_to_decrypt_files.Html

Записи реестра, связанные с BlackShades Crypter Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Driver"="%UserProfile%\AppData\Roaming\Windows\win.exe" /autostart"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\Setup\Generalize "DisableSR" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *