Если вы не видите здесь изображений, то используйте VPN.

вторник, 2 августа 2016 г.

VenusLocker

VenusLocker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в $100 в биткоинах (0,15 биткоина), чтобы вернуть файлы обратно. Есть случаи, когда сумма выкупа гораздо больше - $500. На уплату выкупа даётся только 72 часа. К зашифрованным файлам добавляется расширение .Venusf или 
.Venusp. Другие названия: Enciphered, Crypmod. Написан на .NET Framework.

© Генеалогия: EDA2 >> VenusLocker

    VenusLocker > TrumpLocker 
    VenusLocker > LLTP Locker 

Записка с требованием выкупа называется: ReadMe.txt


К ней добавляется экран блокировки VenusLocker и изображение bg.jpg в стиле Anonymous, встающее обоями рабочего стола.



Содержание записки о выкупе:
--- Venus Locker ---
Unfortunately, you are hacked.
1. What happened to my files?
Your personal files, including your photos, documents, videos and other important files on this computer, have been encrypted with RSA-4096, a strong encryption algorithm. RSA algorithm generates a public key and a private key for your computer. The public key was used to encrypt your files a moment ago. The private key is necessary for you to decrypt and recover your files. Now, your private key is stored on our secret Internet server. And there is no doubt that no one can recover your files without your private key.
For further information about RSA algorithm, please refer to https://en.wikipedia.org/wiki/RSA_(cryptosystem)

2. How to decrypt my files?
To decrypt and recover your files, you have to pay 100 US Dollars for the private key and decryption service. Please note that you have ONLY 72 HOURS to complete your payment. If your peyment do not be completed within time limit, your private key will be deleted automatically by our server. All your files will be permanently encrypted and nobody can recover them. Therefore, it is advised that you'd better not waste your time, because there is no other way to recover your files except making a payment.
3. How to pay for my private key?
There are three steps to make a payment and recover your files:
1). For the security of transactions, all the payments must be completed via Bitcoin network. Thus, you need to exchange 100 US dollars (or equivalent local currencies) to Bitcoins, and then send these Bitcoins (about 0.15 BTC) to the following address. 1Dj9YnMiciNgaKuyzKynygu7nB21tvV6QD
2). Send your personal ID to our official email: VenusLocker@mail2tor.com
Your personal ID is cc673bcfcf644d2c1a88893cb0ff8fa7
3). You will receive a decryptor and your private key to recover all your files within one working day.
4. What is Bitcoin?
Bitcoin is an innovative payment network and a new kind of money. It is based on an open-source cryptographic protocol that is independent of any central authority. Bitcoins can be transferred through a computer or a smartphone withour an intermediate financial institution.
5. How to make a payment with Bitcoin?
You can make a payment with Bitcoin based on Bitcoin Wallet or Based on Perfect Money. You can choose the way that is more convenient for you.
About Based on Bitcoin Wallet
1) Create a Bitcoin Wallet. We recommend Blockchain.info (https://blockchain.info/)
2) Buy necessary amount of Bitcoins. Our recommendations are as follows.
LocalBitcoins.com -- the fastest and easiest way to buy and sell Bitcoins.
CoinCafe.com -- the simplest and fastest way to buy, sell and use Bitcoins.
BTCDirect.eu -- the best for Europe.
CEX.IO -- Visa / MasterCard
CoinMama.com -- Visa / MasterCard
HowToBuyBitcoins.info -- discover quickly how to buy and sell Bitcoins in your local currency.
3) As mentioned above, send about 0.15 BTC (equivalent to 100 USD) to our Bitcoin receiving address.
4) As mentioned above, and then, send us your personal ID via email, you will receive your private key soon.
About Based on Perfect Money
1) Create a Perfect Money account. (https://perfectmoney.is)
2) Visit to PMBitcoin.com. (https://pmbitcoin.com/btc) 
input our Bitcoin receiving address in the "Bitcoin Wallet" textbox. 
input 100 in the "Amount" textbox, the amount of Bitcoin will be calculated automatically.
click "PAY" button, then you can complete you payment with your Perfect Money account and local debit card.
6. If you have any problem, please feel free to contact us via official email.
Best Regards
VenusLocker Team


Перевод записки на русский язык:

--- Venus Locker ---
К сожалению, вы взломаны.
1. Что случилось с моими файлами?
Ваши личные файлы, включая ваши фото, документы, видео и другие важные файлы на этом компьютере, были зашифрованы с RSA-4096, сильным алгоритмом шифрования. Алгоритм RSA генерирует открытый и закрытый ключи для вашего компьютера. Открытый ключ был использован для шифрования файлов минуту назад. Секретный ключ необходим вам, чтобы расшифровать и восстановить файлы. Ваш закрытый ключ хранится на нашем секретном интернет-сервере. И без сомнения никто не сможет восстановить ваши файлы без этого ключа.
Для получения дополнительной информации об алгоритме RSA, пожалуйста, читайте https://en.wikipedia.org/wiki/RSA_(cryptosystem)
2. Как расшифровать мои файлы?
Для расшифровки и восстановления файлов вы должны заплатить $100 США за секретный ключ и дешифровку. Заметьте, у вас только 72 часа проведение оплаты. Если оплата не будет сделана за это время, то ваш личный ключ будет автоматически удалён с нашего сервера. Все ваши файлы будут постоянно шифроваться и никто не сможет их восстановить. Поэтому вам лучше не тратить свое время, так как нет никакого другого пути, чтобы восстановить ваши файлы, кроме оплаты выкупа. 
3. Как оплатить мой личный ключ?
Есть три шага для оплаты и восстановления файлов:
1). Для обеспечения безопасности сделок все платежи должны быть сделаны через сеть Bitcoin. Поэтому вам нужно обменять $100 США (или эквивалент местной валюты) на биткоины, а затем отправить эти Bitcoins (около 0,15 BTC) по следующему адресу.
1Dj9YnMiciNgaKuyzKynygu7nB21tvV6QD
2). Прислать ваш персональный ID на наш официальный email-адрес: VenusLocker@mail2tor.com
Ваш персональный ID cc673bcfcf644d2c1a88893cb0ff8fa7
3). Вы получите дешифратор и закрытый ключ для восстановления всех файлов за один рабочий день.
4. Что такое Bitcoin?
***опускаем описание***
5. Как сделать платеж с помощью Bitcoin?
***опускаем описание***
Об основе Bitcoin-кошелька
***опускаем описание*** Как создать, купить, перевести биткоины...
Об основе Perfect Money
***опускаем описание*** Как создать аккаунт, платить в биткоинах...
6. Если у вас возникли проблемы, пожалуйста, не стесняйтесь связаться с нами по официальной email.
С наилучшими пожеланиями
VenusLocker Team


Email вымогателей: 
VenusLocker@mail2tor.com
crazyman@keemail.me

Распространяется с помощью email-спама и вредоносных вложений, загрузок инфицированных файлов. 


Противодействует отладчикам и дампингу памяти, чтобы осложнить исследователям сбор информации о своей вредоносной активности.

Список типов файлов, подвергающихся шифрованию c добавлением расширения 
.Venusf:
.3dm, .3ds, .3g2, .3gp, .7z, .accdb, .aes, .ai, .aif, .apk, .app, .arc, .asc, .asf, .asm, .asp, .aspx, .asx, .avi, .bmp, .brd, .bz2, .c, .cer, .cfg, .cfm, .cgi, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .css, .csv, .cue, .dat, .db, .dbf, .dch, .dcu, .dds, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dtd, .dwg, .dxf, .eml, .eps, .fdb, .fla, .flv, .frm, .gadget, .gbk, .gbr, .ged, .gif, .gpg, .gpx, .gz, .h, .htm, .html, .hwp, .ibd, .ibooks, .iff, .indd, .jar, .java, .jks, .jpg, .js, .jsp, .key, .kml, .kmz, .lay, .lay6, .ldf, .lua, .m, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mfd, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpa, .mpg, .ms11, .msi, .myd, .myi, .nef, .note, .obj, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .pages, .paq, .pas, .pct, .pdb, .pdf, .pem, .php, .pif, .pl, .plugin, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .priv, .privat, .ps, .psd, .pspimage, .py, .qcow2, .ra, .rar, .raw, .rm, .rss, .rtf, .sch, .sdf, .sh, .sitx, .sldx, .slk, .sln, .sql, .sqlite, .sqlite, .srt, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlb, .tmp, .txt, .uop, .uot, .vb, .vbs, .vcf, .vcxpro, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .wpd, .wps, .wsf, .xcodeproj, .xhtml, .xlc, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .yuv, .zip, .zipx (228 расширений).

Список типов файлов, подвергающихся шифрованию c добавлением расширения .Venusp:
 .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .aaf, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aep, .aepx, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .as, .as3, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .class, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .csv, .ctt, .cty, .cwf, .dal, .dap, .dat, .db, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .eat, .elf, .eps, .eql, .erf, .err, .euc, .evo, .ex, .exif, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .game, .gif, .grf, .grle, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idml, .idx, .img, .indb, .indd, .indl, .indt, .ini, .ink, .inx, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md3, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pl, .plb, .plc, .pli, .pm, .pmd, .png, .pot, .potm, .potx, .ppam, .ppd, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prel, .prproj, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .sldm, .sldx, .slot, .slt, .snp, .so, .spr, .spv, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .sv5, .svg, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls,  .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlv, .xlw, .xlwx, .xml, .xpi, .xpt, .xqx, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (510 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и пр. Но странно, что расширения дублируются. 

Шифровальщик пропускает директории: 
Program Files, Program Files (x86), Windows, Python27, Python34, AliWangWang, Avira, wamp, Avira, 360, ATI, Google, Intel, Internet Explorer, Kaspersky Lab, Microsoft Bing Pinyin, Microsoft Chart Controls, Microsoft Games, Microsoft Office, Microsoft.NET, MicrosoftBAF, MSBuild, QQMailPlugin, Realtek, Skype, Reference Assemblies, Tencent, USB Camera2, WinRAR, Windows Sidebar, Windows Portable Devices, Windows Photo Viewer, Windows NT, Windows Media Player, Windows Mail, NVIDIA Corporation, Adobe, IObit, AVAST Software, CCleaner, AVG, Mozilla Firefox, VirtualDJ, TeamViewer, ICQ, java, Yahoo!

Файлы, связанные с Ransomware:

C:\Users\User_name\U2FsdGVkX1DKeR.vluni
C:\Users\User_name\bg.jpg
C:\Users\User_name\Desktop\ReadMe.txt
VenusLocker.exe
code2.exe
_.doc.exe
물품스펙.doc
<random>.exe
<random>.tmp
<random>.doc.exe
<random>.exe.tmp

Примечательно, что шифровальщик использует файл U2FsdGVKX1DKeR.vluni как показатель того, что система уже заражена. Потому, если заранее положить такой файл в нужное место, то шифрование не состоится или будет прервано в самом начале.  

Сетевые подключения и связи:
xxxxs://158.255.5.153/create.php
xxxx://i.imgur.com/Jk67LrS.jpg
xxxx://ip-api.com/csv?fields=country (81.4.121.206:80) (Нидерланды)
xxxx://www.download.windowsupdate.com (13.107.4.50:80)
xxxxs://www.digicert.com/ssl-cps-repository.htm
xxxx://crl3.digicert.com
xxxx://cacerts.digicert.com
xxxx://ocsp.digicert.com
158.255.5.153:443 (Россия)
и другие, см. гибридный анализ. 

Подробный анализ и обзор от MalwareBytes >>>

Результаты анализов:

Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: средняя

VenusLocker больше не распространяется.
Подробные сведения собраны и указаны ниже.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 28 февраля 2017:
Email: crazyman@keemail.me
URL: ***185.106.122.2/keysave.php - C2
Результаты анализов: HA+VT



Обновление от 21 декабря 2017:
Криминальная группа переключилась на майнинг криптовалюты Monero (Monero Mining). Подробнее >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 Video review by GrujaRS CyberSecurity
 <- 21 августа 2016
 <-23 декабря 2016
 Thanks: 
 Michael Gillespie
 MalwareBytes
 Mosh on Nyxbone
 GrujaRS CyberSecurity



© Amigo-A (Andrew Ivanov): All blog articles. 

BaksoCrypt

BaksoCrypt Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует приобрести программу дешифровки, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: my-Little-Ransomware >> Cute Ransomware > BaksoCrypt Ransomware

К зашифрованным файлам добавляется расширение .adr

Активность этого криптовымогателя пришлась на начало августа 2016 г. Ориентирован на китайскоязычных пользователей, что не мешает перевести на английский и начать распространять его по всему миру.

Записка с требованием выкупа выклядит как простое диалоговое окно с заголовком 警告 (Внимание) и написана на китайском. 

Содержание записки о выкупе:
发现您硬盘内替使用过盗版的我公司软件,所以捋您部分文件加密.
若要解密,请电邮 ***@163.com 购买相应软件!

Перевод текста на русский язык (выполнен Amigo-A):
На вашем жестком диске найдены следы использования пиратского программного обеспечения, поэтому некоторые из ваших файлов подвергнуты шифрованию.
Для дешифровки, пожалуйста, напишите на email ***@163.com чтобы приобрести соответствующее программное обеспечение!

Записка может быть продублирована в текстовом сообщении с аналогичным содержанием.

Распространяться может с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Вредонос использует rundll32.exe, чтобы запустить скрипт, который добавляет запись в реестр:
"C:\Windows\System32\rundll32.exe" javascript:"\..\mshtml,RunHTMLApplication ";document.write();shell=new%20ActiveXObject("wscript.shell");shell.regwrite("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\adr","{malware path}"

Так шифровальщик прописывается в аdnозагрузку Windows, чтобы включить автоматическое выполнение при каждом старте системы. 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 adr = "{malware path}"

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .log, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (160 расширений).
Документы MS Office, базы данных, PDF, фотографии, музыка, видео, образы дисков и пр.

Файлы, связанные с этим Ransomware:
BaksoCrypt.exe - сам шифровальщик
DecryptBakso.exe - декриптор

Дроппированные файлы:
...\malware directory\sendBack.txt
...\malware directory\secret.txt
...\malware directory\secreatAES.txt
...\malware directory\data receive

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce      adr = "{malware path}"

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up by TrendMicro
 Example (article)
 *
 Thanks: 
 JakubKroustek (AVG, Avast)
 Jeanne Jocson (TrendMicro)
 *
 *
 

ShinoLocker

ShinoLocker Ransomware

(крипто-симулятор, шифровальщик-НЕ-вымогатель)


  Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем НЕ требует выкуп в биткоинах, чтобы вернуть файлы обратно. 
Изображение принадлежит шифровальщику

ShinoLocker Ransomware Simulator был представлен в рамках презентации на Black Hat 2016. Он создан, по словам его создателя Шота Шиноги из Японии, для пен-тестинга и изучения работы шифровальщиков. 

Разница между ShinoLocker и реальным крипто-вымогателем в том, что ShinoLocker не просит реальный денежный выкуп и вам не придется платить деньги, чтобы получить ключ дешифрования. Ключ выдается "жертве" через специальную форму на официальном сайте, чтобы дешифровать файлы без выкупа и ущерба. 
Для этого нужно скопировать показанные на экране HOST ID и TRANSACTION ID, вставить их в соотвествующие поля формы "Get the Key to Decrypt" и нажать кнопку "GET THE KEY", чтобы получить ключ дешифрования.



Что делает ShinoLocker Ransomware-симулятор?
- Получает крипто-ключ c C&C-сервера (онлайн).
- Сканирует ПК для поиска файлов с заданными расширениями (по умолчанию: .avi, .bmp, .doc, .docx, .jpeg, .jpg, .mov, .mp3, .mp4, .png, .ppt, .pptx, .wav, .wmv, .xls, .xlsx).
- Шифрует файлы с помощью AES-128.
- Добавляет к зашифрованным файлам расширение .shino
- Запрашивает ключ дешифрования.
- Дешифрует зашифрованные файлы.
- Удаляет самого себя.

Поставляется в виде готового решения ShinoLocker и "сборки под себя" ShinoBuilder.

ShinoBuilder "под себя" собирается онлайн. Желающие испытать свою систему могут выбрать или отменить некоторые опции. Например, расширения шифруемых файлов, или удаления теневых копий файлов. 
Чтобы получить готовый вариант ShinoBuilder останется нажать зелёную кнопку BUILD. Для начального пен-тестинга всё же желателен умолчательный вариант.

!!! Внимание!!! Любые тесты желательно проводить на системах, где важные файлы убраны на внешний носитель, который к тому же отключен от компьютера. Или на свежеустановленной системе, где нет никаких важных файлов ни на одном из дисков. Можно просто накидать разные копии картинок и документов, чтобы потом увидеть, что с ними будет после шифрования.

Кому-то будет достаточно просто просмотреть видеоролик и не проводить никакого теста. На видео и так всё наглядно и поучительно. Ссылка на официальный сайт криптосимулятора есть под самим видеороликом. 

Также выглядят зашифрованные файлы

Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .doc, .docx, .jpeg, .jpg, .mov, .mp3, .mp4, .png, .ppt, .pptx, .wav, .wmv, .xls, .xlsx (16 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ShinoLockerMain.exe

Сетевые подключения и связи: 
xxxx://shinosec.com/
xxxx://shinolocker.com (188.166.237.163)
xxxx://apps.identrust.com (192.35.177.64)

Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >> + VT>>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 26 февраля 2017:
Файлы: ShinoLocker.exe и ShinoLockerMain.exe
Результаты анализов: VT


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + developers Twitter
 ID Ransomware (ID as ShinoLocker)
 Write-up, Topic of Support
 🎥 Video review >>
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 1 августа 2016 г.

Razy

Razy Ransomware

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем, по идее, требует выкуп за декриптор, чтобы вернуть файлы обратно. Название придумано его создателями, смысл слова не ясен. 

Обнаружения: 
Dr.Web -> Trojan.Encoder.10598
BitDefender -> Generic.Ransom.Hiddentear.A.CD9A087D

© Генеалогия: HiddenTear > Razy

 К зашифрованным файлам добавляется расширение .razy

 Активность этого криптовымогателя не была выявлена. Разработчики Razy вышли на связь с исследователями и сообщили, что их проект Razy 2.0 не был предназначен для распространения в Интернете, и они не знают, как и кем исходники были распространены, а затем попали к исследователям. 

Мое мнение: если не хотели распространять, не надо было играться в вымогателей и заниматься самолюбованием - "какие мы крутые, сделали Razy и Razydecrypt". 

Записки с требованием выкупа называются: !! DECRYPT MY FILES !!!.HTML и эпатажный графический файл razy.jpg, встающий обоями рабочего стола. 

Ссылка "PAY HERE" ничего не открывает. 



 Содержание текста с экрана: 
!ATTENTION!
ALL YOUR FILES HAVE BEEN ENCRYPTED - 
OPEN -> !! DECRYPT MY FILES !!.html TO DECRYPT YOUR FILES

 Перевод на русский язык:
!ВНИМАНИЕ!
Все ваши файлы были зашифрованы -
Откройте -> !! DECRYPT MY FILES !!.html. HTML для дешифровки ваших файлов

Razy шифрует все файлы, независимо от расширения, находящиеся на рабочем столе жертвы, а также документы, фото, аудио- и видеофайлы. 

 Файлы, связанные с Ransomware: 
%Desktop%\!! DECRYPT MY FILES !!!.HTML
%Desktop%\razy.jpg

 Записи реестра, связанные с Ransomware:
Параметр установки файла razy.jpg в качестве обоев. 

VirusTotal анализ >>

 Степень распространённости: низкая. 
 Подробные сведения собираются.


Обновление от 14 ноября 2016:
Пост в Твиттере >>
Самоназвание: Razy 5.0
Новое расширение: .razy1337
Файл: Razy 5.0.exe
Результаты анализов: VT + HA
Новая записка, скринлок, блокировщик экрана:














© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 30 июля 2016 г.

Не плати выкуп! No More Ransom!

Шифровальщики — чума Интернета


   Сейчас уже ни для кого не секрет, что в Интернет перенесены все виды имеющихся преступлений. Среди них кибершпионаж, кибертерроризм, кибермошенничество, киберкражи и, согласно тематике этого блога, кибервымогательство и кибершантаж.

  Киберпреступления в России давно хотят приравнять к кражам, усилив наказания, но данный вопрос поднят с подачи банковских структур, которым якобы хакеры житья не дают. Может быть, так оно и есть. Кто о чём, а банки о хакерах...

   В готовящемся законопроекте также упомянуто скачивание нелицензионных программ и аудио-видео-"шедевров" современной "шедевро"-индустрии, и так выливающейся на нас, как ушат грязной воды. Опять налицо охота на ведьм, а не на истинных киберпреступников, которые как чума распространились по всей Всемирной Сети и затронули каждую семью в каждой стране мира, имеющую выход в Интернет.

  Да, я говорю о Вымогательской Чуме: крипто-вымогателях, шифровальщиках, блокировщиках и всевозможных фейках, т.е. программах, которые прикидываются шифровальщиками, блокировщиками, программами, предлагающими "очистку" за плату, но от этого не перестают быть вымогателями. Их создатели открыто размещают свои "творения" в сети Интернет, не боясь ни правоохранителей, ни криминальной мафии, ни местной полиции, ни Европола и Интерпола. Они рекламируют, их рекламируют и продвигают в результатах поиска автоматизированных систем Google и Яндекс. 

  Вот с кем должны бороться законы о киберпреступлениях, вот кого в первую очередь должна хватать полиция, вычислять Европол, Интерпол и Управление "К"! Хотелось бы верить, что работа в этом направлении ведётся денно и нощно, но факт налицо: вымогательство и криптовымогательство стало бичом и чумой Интернета, как каток подмяв под себя классические вирусные эпидении. 

  Кстати, по моим сведениям из Украины, Молдовы и Румынии выпускается наибольшее количество Ransomware, если при этом не учитывать Восточные и Южные регионы Азии, где совершенной другой, более высокий процент и уровень вымогательства и хакерских атак. Одни вымогательские атаки из Украины, Молдовы и Румынии направлены на Россию, русскоязычные предприятия и пользователей, а другие на США, Европу и англоязычных пользователей.

  Пользователи компьютеров за последнюю пару лет стали гораздо чаще сталкиваться с программами-шифровальщиками,  фейк-шифровальщиками, блокировщиками-вымогателями и прочими, требующими выкуп за возвращение доступа к файлам, которые они зашифровали и сделали нечитаемыми, заблокировали и сделали недоступными, переместили, скрыли, удалили... Как это стало возможным? 



  Давно прошли те времена, когда распространением вредоносной программы занимался один преступник или начинающий программист. Сейчас чаще всего киберпреступники работают командой, т.к. такая совместная работа приносит больше прибыли. Например, с развитием вымогательской бизнес-модели (RaaS), основанной на оплате выкупа в биткоинах, одна группа может заниматься техподдержкой, написанием рекомендаций, через чат или по email подсказывать новым жертвам, как и где можно купить, обменять, перевести биткоины для последующей уплаты выкупа. Другая группа занимается разработкой, обновлением и отладкой вымогательского ПО. Третья группа обеспечивает прикрытие и размещение. Четвертая группа работает с C&C и администрирует работу из командного центра. Пятая занимается финансовыми вопросами и работает с партнёрами. Шестая компрометирует и заражает сайты... С развитием RaaS, чем сложнее и распространеннее вымогательское ПО, тем больше задействованных групп и выполняемых ими процессов. 

  Столкнувшись с атакой крипто-вымогателей пострадавшие оказываются перед сложным вопросом: Заплатить выкуп? или Распрощаться с файлами? Чтобы обеспечить себе анонимность киберпреступники используют сеть Tor и требуют выкуп в криптовалюте Bitcoin. На июнь 2016 денежный эквивалент 1 BTC уже превышает 60 тысяч рублей и меньше уже не станет. К сожалению, решив заплатить, пострадавшие невольно финансируют дальнейшую вымогательскую деятельность киберпреступников, аппетит которых растёт не по дням, а по часам и с каждой новой выплатой они убеждаются в своей безнаказанности. 

Посмотрите на "Топ 100 богатейших Биткоин Адресов и Биткоин распределение". Большинство тамошних криптовалютных богатеев-миллионеров стали таковыми незаконными и даже преступными методами. 



  Как же быть? Сегодня пока нет универсального инструмента для расшифровки данных, есть лишь отдельные утилиты, создаваемые и подходящие для конкретных шифровальщиков. Потому в качестве основной защиты рекомендуются меры, не допускающие заражения шифровальщиками, главной из которых является Актуальная антивирусная защита. При этом очень важно также повышение осведомленности пользователей об этих мерах и об угрозах, исходящих от программ-шифровальщиков и вымогателей. Для этой цели создан наш блог. Здесь собирается информация по каждому шифровальщику-вымогателю, фейк-шифровальщику или блокировщику, выдающему себя за шифровальщика. 

Во втором моём блоге "Дешифровщики файлов" с мая 2016 года суммируется информация по декриптерам, которые создаются для бесплатной дешифровки файлов, зашифрованных Crypto-Ransomware. Все описания и инструкции впервые публикуются на русском языке. Сверяйтесь регулярно. 

  Для цели профессиональной помощи летом 2016 года «Лаборатория Касперского», Intel Security, Европол и полиция Нидерландов организовали совместный проект "No More Ransom", направленный на борьбу с программами-вымогателями. Участники проекта создали сайт NoMoreRansom.org, содержащий общую информацию о шифровальщиках (на английском), а также бесплатные инструменты для восстановления зашифрованных данных. Сначала было всего 4 таких инструмента от ЛК и McAfee. На день написания этой статьи их было уже 7 и функционал был ещё более расширен. 

Примечательно, что этот проект только лишь в декабре дополнен группой декриптеров, которые давно описаны в моих блогах "Шифровальщики-вымогатели" и "Дешифровщики файлов". 


No More Ransom!
Обновление от 15 декабря 2016:
К проекту присоединились другие компании, ранее выпустившие другие дешифровщики. Сейчас там уже 20 утилит (некоторых даже по две):
WildFire Decryptor - от «Лаборатории Касперского» и Intel Security
Chimera Decryptor - от «Лаборатории Касперского»
Teslacrypt Decryptor - от «Лаборатории Касперского» и Intel Security
Shade Decryptor - от «Лаборатории Касперского» и Intel Security
CoinVault Decryptor - от «Лаборатории Касперского»
Rannoh Decryptor - от «Лаборатории Касперского»
Rakhni Decryptor - от «Лаборатории Касперского»
Jigsaw Decryptor - от Check Point
Trend Micro Ransomware File Decryptor - от Trend Micro 
NMoreira Decryptor - от Emsisoft
Ozozalocker Decryptor - от Emsisoft
Globe Decryptor - от Emsisoft
Globe2 Decryptor - от Emsisoft
FenixLocker Decryptor - от Emsisoft
Philadelphia Decryptor - от Emsisoft
Stampado Decryptor - от Emsisoft
Xorist Decryptor - от Emsisoft
Nemucod Decryptor - от Emsisoft
Gomasom Decryptor - от Emsisoft
Linux.Encoder Decryptor - от BitDefender
Теперь в "No More Ransom" состоят представители из 22 стран мира.


Удачи в дешифровке!!!


Не плати выкуп! Подготовься! Защити свои данные! Делай бэкапы!
Пользуясь моментом, напоминаю: 
Вымогательство — это преступление, а не игра! Не играйте в эти игры. 

© Amigo-A (Andrew Ivanov): All blog articles

R980

R980 Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RSA-4096, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Название происходит от названия папки с проектом R980. 

 К зашифрованным файлам добавляется расширение .crypt

 Записки с требованием выкупа называются: DECRYPTION INSTRUCTIONS.txt и rtext.txt 

В качестве обоев рабочего стола встает следующий файл:

 Содержание записки о выкупе: 
!!!! ATTENTION !!!! YOUR FILES HAVE BEEN ENCRYPTED! !!!!
ALL of your documents, photos, databases and other important files have been encrypted with AES-256 and RSA4096.You will not be able to recover your files without the private key which has been saved on our server. An antivirus can not recover your files.
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard
HOW TO GET YOUR FILES BACK:
To decrypt your files you have to pay .5 Bitcoins (BTC).
How to make payment?
1. Firstly, you have to buy Bitcoins (BTC). You can buy Bitcoins easily at the following site (you can skip this step if you already have Bitcoins).
       https://www.coinbase.com/
       https://coincafe.com/
       https://bitquick.co/
2. Send .5 BTC to the following Bitcoin address – You don’t have to send the exact amount above. You have to send at least this amount for our systems to confirm payment.
BITCOIN ADDRESS: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr
3. Once you have paid to the above Bitcoin address we will give you a link to a decrypter that will fix your files.
It will be sent to a public email account we have created for you:
***ссылка на https://www.mailinator.com/***
Please wait up to 24 hours for your decrypter to arrive.

 Перевод записки на русский язык: 
!!!! ВНИМАНИЕ !!!! Ваши файлы зашифрованы! !!!!
ВСЕ ваши документы, фото, базы данных и другие важные файлы были зашифрованы с помощью AES-256 и RSA4096. Вы не сможете восстановить файлы без секретного ключа, который сохранен на нашем сервере. Антивирус не восстановит ваши файлы. 
hxxps: //en.wikipedia.org/wiki/Advanced_Encryption_Standard
КАК ПОЛУЧИТЬ файлы обратно:
Для дешифровки файлов вы должны уплатить 0.5 биткоина (BTC).
Как сделать платеж?
1. Во-первых, вы должны купить Bitcoins (BTC). Можно легко купить Bitcoin на следующем сайте (пропустите этот шаг, если у вас уже есть биткоины).
       https://www.coinbase.com/
       https://coincafe.com/
       https://bitquick.co/
2. Отправить 0.5 BTC на следующий адрес – Вы не должны отправлять точную сумму. Вы должны отправить нам по крайней мере эту сумму для подтверждения оплаты.
Bitcoin-адрес: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr
3. После того, как вы заплатили биткоины по указанному выше адресу, мы дадим вам ссылку на декриптер, который исправит ваши файлы.
Он будет направлен на email-аккаунт, который мы создали для Вас:
***ссылка на https://www.mailinator.com/***
Пожалуйста, ждите 24 часа для прихода вашего декриптера.

 Распространяется с помощью email-спама и вредоносных вложений, а также с помощью ссылок на зараженные сайты и P2P-сетей. Для пересылки декриптера вымогатели использовали почтовый сервис mailinator.com

После завершения шифрования вредонос удаляет тома теневых копий файлов. 

 Список файловых расширений, подвергающихся шифрованию: 
.3gp, .7z, .apk, .asm, .avi, .bmp, .c, .cal, .casb, .ccp, .cdr, .cer, .chm, .ckp, .cmx, .conf, .cpp, .cr2, .cs, .css, .csv, .dacpac, .dat, .db,  .db3, .dbf, .dbx, .dcx, .djvu, .doc, .docm, .docx,  .drw, .dwg, .dxf, .epub, .fb2, .flv, .gif, .gz, .ibooks, .iso, .java, .jpeg, .jpg, .js, .key, .md2, .mdb, .mdf, .mht, .mhtm, .mkv, .mobi, .mov, .mp3, .mp4, .mpeg, .mpg, .mrg, .pdb, .pdf, .php, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .psd, .psd, .psp, .py, .rar, .rb, .rbw, .rtf, .sav, .scr, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .tbl, .tif, .tiff, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xml, .xps, .zip (здесь 97 расширений). 

 Файлы, связанные с R980 Ransomware: 
db.txt - данные жертвы
keys.txt - BTC-адрес
f.exe - исполняемый файл

Дополнение от TrendMicro от 10 августа
Показателями компрометации ПК могут быть также файлы:
rtext.txt – записка о выкупе;
status.z – нужен для начального запуска вымогателей;
status2.z – нужен для запуска копии вымогателя;
k.z – содержит загруженные base64 декодированные данные;
fnames.txt – содержит имена зашифрованных файлов.
Итого: R980 шифрует уже 151 тип файлов. 

 Записи реестра, связанные с Ransomware: 
***

 Степень распространённости: низкая. 
 Подробные сведения собираются.

пятница, 29 июля 2016 г.

Turkish

Turkish Ransomware 

UYARI Ransomware 

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2 биткоина, чтобы вернуть файлы обратно. 

© Генеалогия:  HiddenTear >> Turkish Ransomware

Основан на крипто-конструкторе HiddenTear. Ориентирован только на турецкоязычных пользователей, т.к. требования о выкупе написаны на турецком языке. 

К зашифрованным файлам добавляется расширение .locked

Записка с требованием выкупа называется DOSYALARINIZA ULAŞMAK İÇİN AÇINIZ.html (Узнайте, как вернуть ваши файлы). 

 Содержание записки о выкупе: 
UYARI 
Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir 
Bilgisayarınızda, ağ disklerinde ve USB belleklerde olan önemli dosyalarınız; fotoğraflar,videolar ve kişisel bilgiler Cryptolocker virüsü ile şifrelenmiştir. Bizim şifreleme çözme yazılımını satın almak dosyalarınızı kurtarmak için tek yoldur. Aksi takdirde, tüm dosyalarınızı ve harddiskinizi kaybedersiniz. 
Dikkat:Cryptolocker virüs kaldırma işlemi şifrelenmiş dosyalara erişim sağlamaz. 
• İlk olarak '***' bu bitcoin adresine 2 bitcoin yatırınız.
• Buradan bitcoin gönderimi yapabilirsiniz.
• Bitcoini gönderirken açıklama kısmına şirketinizin adını yazınız.
• Buradan bize mail yollayıp mailde de açıklamaya yazdığınız şirket adınızı yazınız. (Gmail üzerinden mail atınız diğer mail istemcileri kabul edilmeyecektir.)
• Yukarıdaki maddeler de özellikle açıklama kısımlarına dikkat ediniz aksi takdirde bitconin veya mailin sizden geldiğine emin olamayız.
• İkisininde açıklamasına yazdığınız değerler eşit olmalıdır. Bunlar bilgisayar tarafından kontrol edildiği için lütfen yazdıklarınızdan emin olunuz. 
Bitcoin açıklamasına yazdığınız değer için örnek; Özsüt Limited 
Mail açıklamanızda Özsüt Limited geçmelidir. Örnek; 
Özsüt Limited adına size ulaşıyorum lütfen CryptoLocker virüsünü kaldırmamız için gerekli programı yollar mısınız. 
İstediğiniz miktar BitCoin adresinize yollanmıştır. 
İyi çalışmalar. 

Bu sayfa en iyi 1920x1080px çözünürlükte ve chrome veya mozilla üzerinde görünür. Lütfen Internet Explorer ile açmayı denemeyiniz. Eğer açtıysanız dosyalarınız bir kez daha şifrelenmiştir. Lütfen bizimle iletişime geçiniz. 

 Перевод записки на русский язык (выполнил Amigo-A): 
ВНИМАНИЕ!
Все ваши файлы зашифрованы вирусом CryptoLocker
Все ваши важные файлы на компьютере, на сетевом диске и USB-памяти, фото, видео и личные данные зашифрованы вирусом CryptoLocker. Единственный способ вернуть файлы покупка нашего дешифровщика. Иначе вы потеряете все файлы безвозвратно.
Внимание: Удаление CryptoLocker не откроет вам доступ к зашифрованным файлам.
• Переведите 2 биткоина на Bitcoin-адрес ***
• Вы можете отправить Bitcoin здесь (ссылка)
• Введите название Вашей компании в описании отправленных Bitcoin.
• Введите в email имя компании, от имени которой отправляете. (Пишите только через почту Gmail, с другой не будет почтовый клиент не примет.) 
• Обратите внимание на пункт выше, иначе мы не будем уверены, что Bitcoin или email-письмо пришли от вас.
• Название, которое вы ввели в описании и письме, должны совпадать, пока они еще на вашем ПК, пожалуйста, убедитесь, что написали.
Например, если вы отправляли Bitcoin от имени Ёзсют Лимитед, то в вашем письме отправитель должен быть Ёзсют Лимитед, а в самом письме должно быть написано: 
"Я обращаюсь к Вам от имени Ёзсют Лимитед. Пожалуйста, пришлите программу для удаления вируса CryptoLocker. Нужная сумма была отправлена на ваш Bitcoin-адрес."
Готово.

Эта страница будет отображаться в разрешении 1920x1080px Chrome или Mozilla. Попробуйте открыть браузер Internet Explorer. Если открытый файл зашифрован файл, то еще раз. Пожалуйста, свяжитесь с нами.

Распространяется с помощью email-спама и вредоносных вложений.

 Список файловых расширений, подвергающихся шифрованию: 
.txt, .rar, .jpeg, .jpg, .pdf, .sql, .png, .accdb, .xls, .xlsx, .doc, .docx, .ppt, .pptx, .zip, .gz, .tar, .tib, .tmp, .frm, .dwg, .pst, .psd, .ai, .svg, .gif, .bak, .db

 Файлы, созданные Turkish Ransomware: 
C:\Users\User_name\Documents\ransom.exe
C:\Users\User_name\.windowsServiceEngine
C:\Users\User_name\Desktop\DOSYALARINIZA ULAŞMAK İÇİN AÇINIZ.html 

 Раздел реестра, созданный Turkish Ransomware: 
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsServiceEngine

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Remove Turkish Decrypt Delete UYARI Decode Restore files Recovery data Удалить HiddenTear Дешифровать Расшифровать Восстановить файлы Removal Uninstall Eliminar Borrar Entfernen Deinstallieren Löschen 


Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *