Если вы не видите здесь изображений, то используйте VPN.

суббота, 18 июня 2016 г.

Crypt38

Crypt38 Ransomware


   Этот криптовымогатель шифрует данные пользователей с помощью AES, а затем требует 1000 рублей или ~15 долларов, чтобы вернуть файлы обратно. Цели шифрования: документы, PDF, фотографии, музыка, видео, базы данных и пр. Зашифрованные файлы получают расширение .crypt38

  Regist Ransomware ориентирован на русскоязычных пользователей, т.к. блокировщик экрана на русском языке. 

Почта вымогателей regist3030@yandex.ru

Вместо записки о выкупе используется блокировщик экрана. 

  Crypt38 добавляется в автозагрузку системы. Каждый раз при запуске проверяет, находится ли его копия в директории %Appdata%\Microsoft\Windows\lsass.exe. 
И если её там нет, то создаёт заново. 

Crypt38 сканирует все диски в следующем порядке:
C:\, D:\, E:\, Z:\, Y:\, X:\, W:\, V:\, F:\, G:\, H:\, I:\, J:\, K:\, U:\, T:\, S:\, R:\, Q:\, L:\, М:\, N:\, O:\, P:\, A:\, B:\. 

  Это существенно замедляет процессы шифрования и дешифрования файлов.

Список файловых расширений, подвергающихся шифрованию:
.txt, .pdf, .html, .rtf, .dwg, .cdw, .max, .psd, .3dm, .3ds, .dxf, .ps, .ai, .svg, .indd, .cpp, .pas, .php, .cs, .py, .java, .class, .fla, .pl, .sh, .jpg, .jpeg, .jps, .bmp, .tiff, .avi, .mov, .mp4, .amr, .aac, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .accdb, .odt, .odp, .odx, .ibooks, .xlp, .db, .dbf, .mdf, .sdf, .mdb, .sql, .rar, .7z, .zip, .vcf, .cer, .csr, .torrent, .otl, .report, .key, .csv, .xml (65 расширений). 

Файлы вымогателя:
%Appdata%\lsass.exe - копия себя
%Appdata%\request.bin – содержит ID жертвы
%Appdata%\encrypted

Папка, созданная вымогателем:
{root drive} \ow4386747

Ключ реестра вымогателя:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Значение: lsass
%Appdata%\lsass.exe

Анализ от Fortinet >>>

К счастью в программе-вымогателе есть изъян, который позволяет вернуть зашифрованные файлы без уплаты выкупа. 

За помощью в дешифровке обращайтесь на форум bleepingcomputer.com

Степень распространенности: низкая.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть дешифровщик.


четверг, 16 июня 2016 г.

UCCU

UCCU Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-шифрования, а затем требует выкуп в биткоинах. 

К зашифрованным файлам добавляется расширение .uccu

Название получил от комментария "uccu" в свойствах файла и одноимённого расширения, добавляемого к зашифрованным файлам.  Что означает "uccu" пока неизвестно. 

Исполняемый файл содержит в имени нецензурную брань fuckgod_jesu_crypt.exe

После запуска UCCU прописывается в автозагрузку системы, чтобы продолжать шифрование и демонстрировать требования о выкупе. По завершении шифрования вредонос удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
.png .3dm .3g2 .3gp .aaf .accdb .aep .aepx .aet .ai .aif .arw .as .as3 .asf .asp .asx .avi .bay .bmp .cdr .cer .class .cpp .CR2 .crt .CRW .cs .csv .db .dbf .dcr .der .dng .doc .docx .docb .docm .dot .dotm .dotx .dwg .dxf .dxg .efx .eps .erf .fla .flv .idml .iff .indb .indd .indl .indt .inx .jar .java .jpeg .jpg .kdc .m3u .m3u8 .m4u .max .mdb .mdf .mef .mid .mov .mp4 .mpa .mp3 .mpeg .mpg .mrw .msg .NEF .nrw .odb ODC-.odm .odp .ods .odt .orf .p12 .P7B .p7c .pdb .pdf .pef .pem .pfx .php .plb .pmd .pot .potm .potx .ppam .ppj .pps .ppsm .ppsx .ppt .pptm .pptx .prel .prproj .ps .psd .pst .ptx .r3d .ra .raf .rar .raw .rb .rtf .rw2 .rwl .sdf .sldm .sldx .sql .sr2 .srf .srw .svg .swf .tif .vcf .vob .wav .wb2 .wma .wmv .wpd .x3f .xla WPS-.xlam .xlk .xll .xlm .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .xqx .zip

Степень распространенности: не определена.
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles.

DEDCryptor

DEDCryptor Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 + RSA для защиты пароля, а затем требует выкуп в 2 биткоина, чтобы вернуть файлы обратно. Ключ дешифрования будет хранится только 24 часа. Основан на конструкторе EDA2. 

© Генеалогия: EDA2 >> DEDCryptor

  По некоторым сведениям, пострадавшим россиянам (или написавшим вымогателям на русском языке) ключ дешифрования предоставляется бесплатно. 

  К зашифрованным файлам добавляется расширение .ded. Например, файл TestDoc.xlsx, когда будет зашифрован, станет TestDoc.xlsx.ded. 

  Распространяется с помощью email-спама с вредоносным вложением в виде испорченного DOCX-файла. Тема письма может быть различной: от счета за оплату или банковского уведомления, до простого объявления. Причем, в письме используются оригинальные логотипы и фирменные изображения. 


Не любопытствуйте с письмами, это вам дорого обойдется! 

  DEDCryptor не оставляет текстовых записок с требованием выкупа, вместо этого в качестве обоев рабочего стола встает заготовленное изображение ded.png с короткими текстовыми сообщениями на русском и английском языках, которое и сообщает пользователю о том, что произошло и что нужно вымогателям. Вымогатели надели на себя образ злого Санты, а картинка гуляла по Интернету и раньше. 

  Контактный email-адрес вымогателей: dedcrypt@sigaint.org

 DEDCryptor шифрует только набор стандартных форматов документов, изображений и видео, которые имеют размер не больше 50 мегабайт. 

Список файловых расширений, подвергающихся шифрованию:
.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .dll, .lnk, .pdf

Шифруются только файлы, находящиеся на Рабочем столе в рамках текущей сессии. 

Дешифровщик от вымогателей:

Известно, что российским и русскоязычным пользователям Windows расшифровывают бесплатно


Файлы, связанные с DEDCryptor:
%UserProfile%\ded.png

Информация получена с BP.

Степень распространенности: средняя.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть дешифровщик от Майкла Джиллеспи.

вторник, 14 июня 2016 г.

AMBA

AMBA Ransomware 

(шифровальщик-вымогатель) 

Translation into English


  Этот крипто-вымогатель шифрует файлы, находящиеся на веб-сайтах. 
Зашифрованными оказываются все файлы во всех директориях сайта.

К зашифрованным файлам добавляется расширение .AMBA




© Генеалогия: Plague17 (2014-2016) > AMBA > Crypto_Lab > Russenger > Dont_Worry > Plague17 (2019)

Также в каждой директории размещается записка о выкупе под названием ПРОЧТИ_МЕНЯ.txt. Весь текст написан на русском языке. 



Более ранние версии вредоноса для серверов с другими записками о выкупе известны с 2013 года. К зашифрованным файлам тогда добавлялось расширение .amba (с маленькими буквами). 

Сетевые подключения и связи:
Email: amba@riseup.net


Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

AMBA Family (семейство Plague17AMBA):
Plague17 (2014-2016) Ransomware - март 2014-2016
AMBA Ransomware - июнь, сентябрь 2016
Crypto_Lab Ransomware - сентябрь 2017
Russenger Ransomware - февраль 2018
Dont_Worry Ransomware - март-апрель 2018
Plague17 (2019) Ransomware - август 2019
Pizhon Ransomware - октябрь 2020



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 сентября 2016:
Расширение: .PROD или .prod или .RROD 
Email: rr0d@riseup.net
Пример на форуме >>
Записка: ПРОЧТИ_МЕНЯ.txt
Скриншот записки:
Содержание текста:
--------------------------------------------------------------------------------
    Место для Вашей рекламы
--------------------------------------------------------------------------------
    Вся Ваша информация (документы, базы данных, бэкапы)
    на этом компьютере была зашифрована.
    Для расшифровки обратитесь по нижеуказанным контактам.
    Ни в коем случае не изменяйте файлы!
    И не используйте чужие дешифраторы, Вы можете потерять Ваши файлы навсегда.
    Каждый дешифратор - уникален, чужой - просто испортит Ваши файлы.
    Благодоря нам - вы можете усилить свою безопасность
    и предотвратить подобные ситуации!
--------------------------------------------------------------------------------
e-mail: rr0d@riseup.net
-----------------------------------
Ваш код для разблокировки: 7161834 
---------------------------------------------------------------
Внимание! В первом письме не прикрепляйте файлы для дешифровки.
Все инструкции вы получите в ответном письме.
--------------------------------------------------------------- 



Обновление от 12 сентября 2017:

Новая итерация: Crypto_Lab Ransomware

Обновление от 1-2 апреля 2018:
Новая итерация: Dont_Worry Ransomware




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as AMBA)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 13 июня 2016 г.

7h9r

7h9r Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью XOR с ключом 7h9r, а затем предлагает связаться по email с вымогателями, чтобы узнать, как вернуть файлы обратно. Сумма выкупа, названная в ответном письме, $100 за дешифровщик. Цели шифрования: документы, аудио, видео. Оригинальное название: 7h9r. 

Зашифрованные файлы получают расширение .7h9r

Записка с требованием выкупа называется README_.txt
Записки могут быть только на английском языке, но есть и двуязычные (на русском и английском). Выше представлены оба варианта. 

Содержание записки о выкупе:
Your files were encrypted. If you want to decrypt them you must send code WE8765twx1009jdR|742|0|2 to email 7h9r341@gmail.com.
Then you will receive all necessary instructions. Attempts to decipher on their own will not lead to anything good, except irretrievable loss of information.
If you still want try to decipher them, please make a copy of files, this is our life hacking for you. (If you change the file we can't decrypt them in future)

Перевод записки на русский язык:
Твои файлы были зашифрованы. Чтобы расшифровать их, тебе необходимо отправить код WE8765twx1009jdR|742|0|2 на email-адрес 7h9r341@gmail.com.
Далее ты получишь все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему хорошему, кроме безвозвратной потери информации.
Если захочешь попытаться их расшифровать, то предварительно сделай резервные копии файлов, это тебе наш лайфхак. (Если повредишь файлы, то и мы не сможем их потом дешифровать)

Русский текст в двуязычном варианте записки:
Твои файлы были зашифрованы. Чтобы расшифровать их, тебе необходимо отправить код WE8765twx1009jdR|742|0|1 на електронный адрес 7h9r341@gmail.com.
Далее ты получишь все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему хорошему, кроме безвозвратной потери информации. Если захочешь попытаться их расшифровать, то предварительно сделай резервные копии файлов, это тебе наш лайфхак, иначе в случае их изменения расшифровка станет невозможной ни при каких условиях.

Примечательно, что слово "электронный" написано, как "електронный", т.е. с буквой "е" вначале, как в украинском языке, только с буквой "ы", как в русском языке. 

Ответное письмо вымогателей:
The cost of decryption - S 100
Within 5 minutes to an hour from the time of payment you will get a program which returns all exactly as it was.
Do not try to recover the data with the help of anti-virus tools, it will hurt all the files If you want to try. try on another PC and a minimum of files, or even then we can not help you.
Firstly you must to send me 1 file (we will decrypt one file up to 10 MB for free as a confirmation in order that the files can be recovered. Any earnings reports, diplomas, coursework. presentations will not be decrypted for free)

Перевод ответного письма:
Стоимость дешифровки - S 100
От 5 минут до часа с момента оплаты вы получите программу, которая возвращает всё, как было.
Не пытайтесь вернуть данные с помощью антивируса, это повредит все файлы. Хотите пробовать, пробуйте на другом ПК и с минимумом файлов, или даже мы уже не поможем.
Сначала нужно прислать 1 файл (мы дешифруем файл до 10 МБ бесплатно, как подтверждение того, что файлы можно вернуть. Все отчеты о доходах, дипломы, курсовые, презентации не будем бесплатно дешифровывать)

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3gp .apk .asm .avi .bmp .cdr .cer .chm .ckp .conf .cpp .css .csv .dacpac .dat .db3 .dbf .dbx .dcx .djvu .doc .docm .docx .epub .fb2 .flv .gif .ibooks .iso .java .jpeg .jpg .key .md2 .mdb .mdf .mht .mhtm .mkv .mobi .mov .mp3 .mp4 .mpeg .mpg .mrg .pdf .php .pict .pkg .png .pps .ppsx .ppt .pptx .psd  .rar .rbw .rtf .sav .scr .sql .sqlite .sqlite3 .sqlitedb .swf .tbl .tif .tiff .torrent .txt .vsd .wmv .xls .xlsx .xml .xps .zip
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_.txt - записка о выкупе;
README_.TXT.7h9r - зашифрованная версия записки;
7h9r.exe - исполняемый файл вымогателя. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространенности: средняя.
Подробные сведения собираются. 

 Read to links: 
 Tweet on Twitter (add. June 13, 2016)
 ID Ransomware (ID as 7h9r)
 Write-up (add. June 13, 2016)
 Tweet on Twitter (add. August 2, 2016)
 Thanks: 
 Mosh, MalwareHunterTeam
 Michael Gillespie
 Marcelo Rivero
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 12 июня 2016 г.

Apocalypse

Apocalypse Ransomware

ApocalypseVM Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма XOR, а затем требует связаться с вымогателями для получения Bitcoin-адреса для оплаты. Нужно заплатить 1 биткоин, чтобы получить дешифровщик. Англоязычные пострадавшие сообщают о сумме в $100 долларов. Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. Зашифрованные файлы получают расширение .encryptedОригинальное название: Apocalypse. Вымогатели из Украины, но у них могут быть помощники в других странах. 

© Генеалогия: Apocalypse > ApocalypseVM, Dr. Jimbo, SecureCryptor, Apocalypse-Unavailable, Al-NamroodEsmeralda, Kangaroo, Missing и другие. 

  Записка о выкупе называется .How_To_Decrypt.txt (Как дешифровать).
Предлагаемый в записке контактный email: decryptionservice@mail.ru


Записка о выкупе и экран блокировки

Содержание записки о выкупе:
IF YOU ARE READING THIS MESSAGE, ALL THE FILES IN THIS COMPUTER HAVE BEEN CRYPTED!!
documents, pictures, videos, audio, backups, etc
IF YOU WANT TO RECOVER YOUR DATA, CONTACT THE EMAIL BELOW.
EMAIL: decryptionservice@mail.ru
WE WILL PROVIDE DECRYPTION SOFTWARE TO RECOVER YOUR FILES.
IF YOU DONT CONTACT BEFORE 72 HOURS, ALL DATA WILL BE LOST FOREVER

Перевод записки на русский язык:
ЕСЛИ ВЫ ЧИТАЕТЕ ЭТО СООБЩЕНИЕ, ВСЕ ФАЙЛЫ В ЭТОМ КОМПЬЮТЕРЕ ЗАШИФРОВАНЫ
документы, изображения, видео, аудио, бэкапы и т.д.
ЕСЛИ ВЫ ХОТИТЕ ВОССТАНОВИТЬ ДАННЫЕ, ПИШИТЕ НА ПОЧТУ.
E-MAIL: decryptionservice@mail.ru
МЫ ПРИШЛЕМ ДЕШИФРОВЩИК ДЛЯ ВОССТАНОВЛЕНИЯ ВАШИХ ФАЙЛОВ.
ЕСЛИ ВЫ НЕ ОТВЕЧАЕТЕ ДО 72 ЧАСОВ, ВСЕ ДАННЫЕ БУДУТ НАВСЕГДА ПОТЕРЯНЫ

В записке в разных версиях указаны разные email:
decryptionservice@mail.ru - в Apocalypse 
decryptservice@inbox.ru - в ApocalypseVM

  Примечательно, что записка с требованием выкупа создается для каждого зашифрованного файла. Например, если Apocalypse шифрует файл с именем test.jpg, то будет создан зашифрованный файл test.jpg.encrypted и файл-записка с именем test.jpg.encrypted.How_To_Decrypt.txt .


Технические детали

  Apocalypse устанавливается в C:\Program Files (x86)\windowsupdate.exe 
Прописывается в автозагрузку Windows под именем Windows Update Svc, чтобы запускаться всякий раз, когда пользователь входит в систему. После запуска он отображает экран блокировки с текстом, как в записке о выкупе. 

Удаляет теневые копии файлов командой:
cmd.exe /c vssadmin delete shadows /all /quiet 

  При первом и последующих запусках Apocalypse будет шифровать все найденные файлы, за исключением тех, что находятся в папке Windows, и тех, которые имеют расширения: .encrypted, .dat, .bat, .bin, .ini, .tmp, .lnk, .com, .msi, .sys, .dll, .exe. 

  Когда вымогатель закончит шифрование файлов, будет отображаться экран блокировки, который блокирует доступ к рабочему столу Windows.

  Вы можете перезагрузить систему в безопасном режиме, чтобы обойти экран блокировки и запустить декриптер для дешифровки файлов.

Файл, связанный с Apocalypse Ransomware:
C:\Program Files (x86)\windowsupdate.exe

Запись реестра, связанная с Apocalypse Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update Svc     C:\Program Files (x86)\windowsupdate.exe

Сетевые подключения и связи:
Разные email-адреса вымогателей:
decryptionservice@mail.ru
decryptservice@mail.ru
decryptionservice@inbox.ru
decryptservice@inbox.ru
decryptdata@inbox.ru
ransomware.attack@list.ru
cryptcorp@inbox.ru
recovery@mail15.com

Степень распространенности: высокая, включая клоны.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Дополнение от 18 июня 2016:
Новая версия: ApocalypseVM использует VMProtect для своей защиты. 
Записка о выкупе: [filename].How_To_Get_Back.txt
Добавляемые расширения: .encrypted и .locked
Email: decryptionservice@inbox.ru и decryptdata@inbox.ru
Вымогатели изменили ключи шифрования.
Emsisoft выпустили декриптер для ApocalypseVM.

Дополнение от 30 июня 2016:

Добавляемые расширения: .FuckYourData и .SecureCrypted
Новая записка о выкупе для каждого файла .Contact_Here_To_Recover_Your_Files.txt
Теперь шифровальщик не трогает файлы с расширением .SecureCrypted и текстовую записку .Contact_Here_To_Recover_Your_Files.txt
Подробнее >> 

Дополнение от 7 июля 2016:
Добавляемое расширение: .bleepYourFiles
Новая записка о выкупе для каждого файла .Where_my_files.txt

Дополнение от 10 июля 2016:

Новая версия: Apocalypse-Unavailable
Добавляемое расширение: .unavailable
Новая записка о выкупе для каждого файла Read_Me.txt

Дополнение от 6 августа:

Добавляемое расширение: .Encryptedfile
Почта вымогателей: ransomware.attack@list.ru

Обновление от 4 декабря 2016:

Пост в Твиттере >>
Записка: [md5].txt (пример: 48D353168099CBAF04D6BB52FE1CDAC5.TXT)
Email: cryptservice@inbox.ru
Расширение: .[random_7_chars]
Шаблон расширения: [filename].ID-[8chars]+[countrycode]+[cryptservice@inbox.ru].[random_7_chars] (пример: 48D353168099CBAF04D6BB52FE1CDAC5.TXT)

Обновление от 19 декабря 2016:

Пост в Твиттере >>
Примеры расширений: .ghwht7ghahgpo.nqazadyanaa
Шаблон зашифрованного файла: filename.ID-[A-F0-9]{8}+countrycode[cryptcorp@inbox.ru].[a-z0-9]{13}
Примеры зашифрованных файлов: 
Document.P0LRBE2RUK[cryptcorp@inbox.ru].ghwht7ghahgpo
Papier.docx.ID-4823B406FRNI[decryptservice@mail.ru].nqazadyanaa
Email: decryptservice@mail.ru
Jabber: decryptservice@jabber.ua
Примеры записок о выкупе: 
48D353168099CBAF04D6BB52FE1CDAC5.TXT
E7DEC816A382C6214F45184823B406FRNI.txt


➤ Содержание записки:

All your files was encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are anavailable at the moment.
To recover the files you need to get special decryption software and your personnal key.
You can contact us via Email:
decryptservice@mail.ru
Your Personnal ID: 4823B406F***
Please use public mail service like gmail or yahoo to contact use, because messages can be not
If you do not receive an answer within 24 hours, it means our email has been blocked.
Dont panic and write us to Jabber (It is not Email !!!): decryptservice@jabber.ua
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days
Regards

Обновление от 20 декабря 2016:

Пост в Твиттере >>
Записка: [md5].txt (пример: 48D353168099CBAF04D6BB52FE1CDAC5.TXT)
Email: cryptcorp@inbox.ru
Расширение: .[random_13_chars] или .[a-z0-9]{13} - это одно и тоже
Шаблон расширения: [filename].ID-[8chars]+[countrycode]+[cryptcorp@inbox.ru].[random_13_chars] (пример: 48D353168099CBAF04D6BB52FE1CDAC5G6HJC8.TXT)
иначе и короче
filename.ID-[A-F0-9]{8}+countrycode[cryptcorp@inbox.ru].[a-z0-9]{15}

Обновление от 26 апреля 2017:

См. статью Apocalypse-Missing Ransomware
Расширение: .missing 
Записка: <note_title>.txt / добавляется к названию каждого файла как составное расширение: .<note title>.txt
Email: recovery@mail15.com
Результаты анализов: HA + VT






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщики
Скачать ApocalypseDecrypter для дешифровки >>
Скачать ApocalypseVMDecrypter для дешифровки >>
Скачать дешифровщик от Avast по ссылке >>
Для более новых версий дешифровка может не сработать.
 Read to links: 
 ID Ransomware (Apocalypse, Apocalypse VM, Apocalypse (New Variant))
 Write-up, Topic of Support
 Thanks: 
 Fabian Wosar, Lawrence Abrams
 Michael Gillespie
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

RAA

RAA (RAA SEP) Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,39 биткоина (250 долларов), чтобы вернуть файлы обратно. Ориентирован на русскоязычных пользователей. К зашифрованным файлам добавляется расширение .locked

  Вымогатели сами называют свое детище вирусом RAA. Он на 100% написан на языке JavaScript, но т.к. в стандартной реализации JavaScript нет расширенных функций шифрования, то разработчики RAA использовали библиотеку CryptoJS, чтобы можно было использовать для шифрования алгоритм AES.

  Распространяется по email в виде вредоносных вложений, замаскированных под doc-файлы со случайными именами файлов типа mgJaXnwanxlS_doc_.js. При открытии JS-файла для отвлечения внимания демонстрируется некий документ Word (на русском языке), который автоматически генерируется вредоносом в папке "Мои документы". Cодержимое документа отображается как повреждённое. Пока пользователь это видит, начинается процесс сканирования дисков и шифрование целевых файлов. 

  Основной JS-файл будет добавлен в автозагрузку, чтобы при каждом входе пользователя в систему запускаться и шифровать его новые файлы. Попутно ставится вредонос Pony, ворующий пароли жертвы, который встраивается в Javascript-файл в качестве закодированной строки. И он тоже будет запускаться вместе с основным файлом шифровальщика, чтобы воровать информацию пользователя. Подробнее о Pony читайте ниже. 

  Теневые копии файлов удаляются вместе со службой, отвечающей за их работу.

  Жертве присваивается ID, который нужно выслать на email вымогателей raa-consult1@keemail.me вместе с несколькими зашифрованными файлами. Если ответа нет в течении 3-х часов, то нужно связаться с вымогателями через Bitmessage. 

Записка о выкупе называется !!!README!!!<ID>.rtf

Список файловых расширений, подвергающихся шифрованию:
.cd, .cdr, .csv, .dbf, .doc, .dwg, .jpg, .lcd, .mdb, .pdf, .png, .psd, .rar, .rtf, .xls, .zip (16 расширений).

При шифровании пропускаются только файлы с расширением .locked, и со знаками ~ и $ в имени. 

При шифровании пропускаются следующие пути:
Windows, RECYCLER, Program Files, Program Files (x86), Recycle.Bin, APPDATA, TEMP, ProgramData, Microsoft

Описание в энциклопедии TrendMicro >>

Файлы, связанные с RAA Ransomware:
%Desktop%\!!!README!!![id].rtf
%MyDocuments%\doc_attached_[random_chars]
%MyDocuments%\st.exe

Записи реестра, связанные с RAA Ransomware:
HKCU\RAA\Raa-fnl
HKCU\Software\Microsoft\Windows\CurrentVersion\Run @ = "[path_to_JS_file]"

Подробнее о работе трояна Pony

1. Pony находится закодированном в Base64 исполняемом файле, запускающемся после шифрования. 
Он ворует следующую конфиденциальную информацию:
- сохраненные в браузере пароли; 
- логин-пароли для FTP-клиентов;
- учетные данные почтовых клиентов;
- информацию о кошельках криптовалют;
- установленные цифровые сертификаты;
- список распространенных паролей.

2. Собранную информацию Pony шифрует с помощью алгоритма RC4 и отправляет на C&C-сервер злоумышленников. При этом он фиксирует контрольные суммы всех полученных данных, выполняя действия в определённой последовательности:
1) подсчет контрольной суммы от незашифрованных данных;
2) добавление полученного значения к входным данным;
3) шифрование входных данных алгоритмом RC4 с заданным преступниками ключом;
4) подсчет контрольной суммы от зашифрованных данных;
5) добавление полученного значения к входным данным;
6) генерация случайного ключа длиной в 4 байта;
7) шифрование входных данных алгоритмом RC4, используя сгенерированный ключ;
8) формирование готовых к отправке данных.


***

Обновление от 30 августа 2016
1. Новая записка о выкупе
2. Изменения в коде
 Источник
3. Изменения в реестре:
Ключ реестра HKCU\RAA\Raa-fnl заменен на HKCU\Hff\Hff-fnl
4. Другие изменения >> 
5. Детекты: 
Детект на вложение Счет+штрафные санкции.doc >>
Детект на JS Payload >>
Детект на вредонос Pony >>


Степень распространённости: низкая. 
Подробные сведения собираются.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *