Если вы не видите здесь изображений, то используйте VPN.

среда, 17 августа 2016 г.

Globe, Purge

Globe Ransomware 

Purge Ransomware 

(шифровальщик-вымогатель) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма Blowfish, а затем требует выкуп "небольшую сумму", чтобы вернуть файлы обратно. Связь с вымогателями требуется осуществлять через сервис Bitmessage. Среда разработки: Delphi. 

© Генеалогия: ✂️ Hidden Tear >> Globe (Purge) > Globe-2 Globe-3 >> Amnesia > Scarab > Scarab Family
Изображение является логотипом статьи

К зашифрованным файлам добавляется расширение .purge

Этимология названия: 
Раннее название Purge происходит от этого расширения. Второе, Globeкак позже оказалось, является самоназванием, вероятно от его глобальности в шифровании множества типов файлов. 

Записка с требованием выкупа называется: How to restore files.hta

 Содержание записки о выкупе: 
YOUR FILES HAVE BEEN ENCRYPTED!
You personal ID
[***]
Your files have been been encrypted with a powerfull strain of a virus called ransomware.
Your files are encrytped using rsa encryption, the same standard used by the military and banks. It is currently impossible to decrypt files encrypted with rsa encryption..
Lucky for you, we can help. We are willing to sell you a decryptor UNIQUELY made for your computer (meaning someone else's decryptor will not work for you). Once you pay a small fee, we will instantly send you the software/info neccessary to decrypt all your files, quickly and easilly.
In order to get in touch with us email us at powerbase@tutanota.com.In your email write your personal ID (its located at the up of the page, it is a string of random characters). Once we receive your personal ID, we will send you payment instructions.
As proff we can decrypt you files we may decrypt 1 small file for test.
If you dont get answer from powerbase@tutanota.com in 10 hours
Register here: http://bitmsg.me (online sending message service Bitmessage)
Write to adress BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 with you email and personal ID
When you payment will bee confirmed, You will get decrypter of files on you computer.
After you run decrypter software all you files will be decryped and restored.
IMPORTANT!
Do not try restore files without our help, this is useless and you may lose data permanetly
Decrypters of others clients are unique and work only on PC with they personal ID.
We can not keep your decryption keys forever, meaning after 1 week after you have been infected, if you have not paid, we will not be able to decrypt your files. Email us as soon as you see this message, we know exactly when everyone has been encrypted and the longer you wait, the higher the payment gets.

 Перевод записки на русский язык: 
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш персональный ID
[***]
Ваши файлы зашифрованы с мощным штаммом вируса-вымогателя.
Ваши файлы зашифрованы с RSA-шифрованием, тот же стандарт, используемый военными и банками. Сегодня невозможно расшифровать файлы, зашифрованные с помощью RSA.
К счастью для вас мы можем помочь. Мы готовы продать вам уникальный дешифратор для вашего компьютера (то есть чей-то еще дешифратор не будет у вас работать). После того, как вы заплатите небольшую сумму, мы сразу вышлем вам ПО/инфо для расшифровки всех ваших файлов, быстро и просто.
Для контакта с нами пишите на powerbase@tutanota.com и сообщите свой ID (наверху страницы есть строка случайных символов). После того, как мы получим ваш ID, мы вышлем инструкции по оплате.
Как профи мы можем расшифровать вам 1 маленький файл для теста.
Если вы не получите ответ от powerbase@tutanota.com за 10 часов
Регистрация здесь: http://bitmsg.me (онлайн-отправка сообщений сервиса Bitmessage)
Напишите на адрес BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 ваш email и ID
Когда вы оплата подтвердится, вы получите декриптер файлов для вашего компьютера.
После запуска декриптера все ваши файлы будут дешифрованы и восстановлены.
ВАЖНО!
Не пытайтесь восстанавливать файлы без нашей помощи, это бесполезно и вы можете совсем потерять данные.
Декриптеры от третьих лиц являются уникальными и работают только на ПК с их личным кодом.
Мы не можем держать ключи дешифрования бесконечно, т.е. через 1 неделю после заражения, если вы не заплатили, мы не сможем дешифровать файлы. Пишите нам, как только вы увидите это сообщение, мы точно знаем, когда всё было зашифровано и чем дольше вы ждете, тем выше оплата становится.

---
Как можно видеть, текст оригинальной записки на английском содержит множество ошибок. Это может быть реальным "знанием" английского или умышленным искажением текста. 



Технические детали


Распространяется с помощью email-спама и вредоносных вложений. В конце статьи есть блок обновлений, в котором содержатся обновления в рамках версии и дополнительные сведения. 

Крипто-вымогатель при первом запуске проверяет, не запущен ли он в песочнице или на виртуальной машине (Anubis, VirtualBox, VMware или Virtual PC). Если это так, то вредонос завершает работу. В ином случае — приступает к шифрованию. В процессе шифрования Purge/Globe удаляет теневые копии файлов и отключает функцию автоматического восстановления системы после неудачной загрузки (Startup Repair). 
Способен проникать в облачные хранилища, если они подключены и работают в автономном режиме. Это в очередной раз подтверждает их бесполезность против шифровальщиков. 

 Список файловых расширений, подвергающихся шифрованию: 
.a, .aet, .afp, .agd1, .agdl, .ai, .aif, .aiff, .aim, .aip, .ais, .ait, .ak, .al, .allet, .amf, .amr, .amu, .amx, .amxx, .ans, .aoi, .ap, .ape, .api, .apj, .apk, .apnx, .arc, .arch00, .ari, .arj, .aro, .arr, .arw, .as, .as3, .asa, .asc, .ascx, .ase, .asf, .ashx, .asm, .asmx, .asp, .aspx, .asr, .asset, .asx, .automaticdestinations-ms, .avi, .avs, .awg, .azf, .azs, .azw, .azw1, .azw3, .azw4, .b2a, .back, .backup, .backupdb, .bad, .bak, .bank, .bar, .bay, .bc6, .bc7, .bck, .bcp, .bdb, .bdp, .bdr, .bfa, .bgt, .bi8, .bib, .bic, .big, .bik, .bin, .bkf, .bkp, .bkup, .blend, .blob, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpk, .bpl, .bpw, .brd, .bsa, .bsk, .bsp, .btoa, .bvd, .c, .cag, .cam, .camproj, .cap, .car, .cas, .cat, .cbf, .cbr, .cbz, .cc, .ccd, .ccf, .cch, .cd, .cdf, .cdi, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cef, .cer, .cert, .cfg, .cfp, .cfr, .cgf, .cgi, .cgm, .cgp, .chk, .chml, .cib, .class, .clr, .cls, .clx, .cmf, .cms, .cmt, .cnf, .cng, .cod, .col, .con, .conf, .config, .contact, .cp, .cpi, .cpio, .cpp, .cr2, .craw, .crd, .crt, .crw, .crwl, .cry, .crypt, .crypted, .cryptra, .cs, .csh, .csi, .csl, .cso, .csr, .css, .csv, .ctt, .cty, .cue, .cwf, .d3dbsp, .dac, .dal, .dap, .das, .dash, .dat, .database, .dayzprofile, .dazip, .db, .db_journal, .db0, .db3, .dba, .dbb, .dbf, .dbfv, .db-journal, .dbx, .dc2, .dc4, .dch, .dco, .dcp, .dcr, .dcs, .dcu, .ddc, .ddcx, .ddd, .ddoc, .ddrw, .dds, .default, .dem, .der, .des, .desc, .design, .desklink, .dev, .dex, .dfm, .dgc, .dic, .dif, .dii, .dim, .dime, .dip, .dir, .directory, .disc, .disk, .dit, .divx, .diz, .djv, .djvu, .dlc, .dmg, .dmp, .dng, .dob, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .drf, .drw, .dsk, .dsp, .dtd, .dvd, .dvi, .dvx, .dwg, .dxb, .dxe, .dxf, .dxg, .e4a, .edb, .efl, .efr, .efu, .efx, .eip, .elf, .emc, .emf, .eml, .enc, .enx, .epk, .eps, .epub, .eql, .erbsql, .erf, .err, .esf, .esm, .euc, .evo, .ex, .exf, .exif, .f90, .faq, .fcd, .fdb, .fdr, .fds, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flp, .flv, .flvv, .for, .forge, .fos, .fpenc, .fpk, .fpp, .fpx, .frm, .fsh, .fss, .fxg, .gam, .gdb, .gfe, .gfx, .gho, .gif, .gpg, .gray, .grey, .grf, .groups, .gry, .gthr, .gxk, .gz, .gzig, .gzip, .h, .h3m, .h4r, .hbk, .hbx, .hdd, .hex, .hkdb, .hkx, .hplg, .hpp, .hqx, .htm, .html, .htpasswd, .hvpl, .hwp, .ibank, .ibd, .ibz, .ico, .icxs, .idl, .idml, .idx, .ie5, .ie6, .ie7, .ie8, .ie9, .iff, .iif, .iiq, .img, .incpas, .indb, .indd, .indl, .indt, .ink, .inx, .ipa, .iso, .isu, .isz, .itdb, .itl, .itm, .iwd, .iwi, .jac, .jar, .jav, .java, .jbc, .jc, .jfif, .jge, .jgz, .jif, .jiff, .jnt, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpw, .js, .json, .jsp, .just, .k25, .kc2, .kdb, .kdbx, .kdc, .kde, .key, .kf, .klq, .kmz, .kpdx, .kwd, .kwm, .laccdb, .lastlogin, .lay, .lay6, .layout, .lbf, .lbi, .lcd, .lcf, .lcn, .ldb, .ldf, .lgp, .lib, .lit, .litemod, .lngttarch2, .localstorage, .log, .lp2, .lpa, .lrf, .ltm, .ltr, .ltx, .lua, .lvivt, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .mag, .man, .map, .mapimail, .max, .mbox, .mbx, .mcd, .mcgame, .mcmeta, .mcrp, .md, .md0, .md1, .md2, .md3, .md5, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdl, .mdn, .mds, .mef, .menu, .meo, .mfw, .mic, .mid, .mim, .mime, .mip, .mjd, .mkv, .mlb, .mlx, .mm6, .mm7, .mm8, .mme, .mml, .mmw, .mny, .mobi, .mod, .moneywell, .mos, .mov, .movie, .moz, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpq, .mpqge, .mpv2, .mrw, .mrwref, .mse, .msg, .msi, .msp, .mts, .mui, .mxp, .myd, .myi, .nav, .ncd, .ncf, .nd, .ndd, .ndf, .nds, .nef, .nfo, .nk2, .nop, .now, .nrg, .nri, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .number, .nvram, .nwb, .nx1, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .oil, .opd, .opf, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pack, .pages, .pak, .paq, .pas, .pat, .pbf, .pbk, .pbp, .pbs, .pcd, .pct, .pcv, .pdb, .pdc, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkey, .pkh, .pkpass, .pl, .plb, .plc, .pli, .plus_muhd, .pm, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppd, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prel, .prf, .props, .prproj, .prt, .ps, .psa, .psafe3, .psd, .psk, .pspimage, .pst, .psw6, .ptx, .pub, .puz, .pwf, .pwi, .pwm, .pxp, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qel, .qic, .qif, .qpx, .qt, .qtq, .qtr, .r00, .r01, .r02, .r03, .r3d, .ra, .ra2, .raf, .ram, .rar, .rat, .raw, .rb, .rdb, .rdi, .re4, .res, .result, .rev, .rgn, .rgss3a, .rim, .rll, .rm, .rng, .rofl, .rpf, .rrt, .rsdf, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rvt, .rw2, .rwl, .rwz, .rzk, .rzx, .s3db, .sad, .saf, .safe, .sas7bdat, .sav, .save, .say, .sb, .sc2save, .sch, .scm, .scn, .scx, .sd0, .sd1, .sda, .sdb, .sdc, .sdf, .sdn, .sdo, .sds, .sdt, .search-ms, .sef, .sen, .ses, .sfs, .sfx, .sgz, .sh, .shar, .shr, .shw, .shy, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .slt, .sme, .snk, .snp, .snx, .so, .spd, .spr, .sql, .sqlite, .sqlite3, .sqlitedb, .sqllite, .sqx, .sr2, .srf, .srt, .srw, .ssa, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stt, .stw, .stx, .sud, .suf, .sum, .svg, .svi, .svr, .swd, .swf, .switch, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t01, .t03, .t05, .t12, .t13, .tar, .tax, .tax2013, .tax2014, .tbk, .tbz2, .tch, .tcx, .tex, .text, .tg, .tga, .tgz, .thm, .thmx, .tif, .tiff, .tlg, .tlz, .toast, .tor, .torrent, .tpu, .tpx, .trp, .ts, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .uea, .umx, .unity3d, .unr, .unx, .uop, .uot, .upk, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uu, .uud, .uue, .uvx, .uxx, .val, .vault, .vbox, .vbs, .vc, .vcd, .vcf, .vdf, .vdi, .vdo, .ver, .vfs0, .vhd, .vhdx, .vlc, .vlt, .vmdk, .vmf, .vmsd, .vmt, .vmx, .vmxf, .vob, .vp, .vpk, .vpp_pc, .vsi, .vtf, .w3g, .w3x, .wab, .wad, .wallet, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmo, .wmv, .wmx, .wotreplay, .wow, .wpd, .wpe, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x11, .x3f, .xf, .xis, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlv, .xlw, .xlwx, .xml, .xpi, .xps, .xpt, .xqx, .xsl, .xtbl, .xvid, .xwd, .xxe, .xxx, .yab, .ycbcra, .yenc, .yml, .ync, .yps, .yuv, .z02, .z04, .zap, .zip, .zipx, .zoo, .zps, .ztmp (995 расширений).

Позже список расширений стал больше:
.001, .1cd, .3d, .3d4, .3df8, .3dm, .3ds, .3fr, .3g2, .3ga, .3gp, .3gp2, .3mm, .3pr, .73i87a, .7z, .7zip, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .a2c, .a5zfn, .aa, .aa3, .aaa, .aac, .aaf, .ab4, .abc, .abk, .abw, .ac2, .ac3, .accdb, .accde, .accdr, .accdt, .ace, .ach, .acr, .act, .adb, .ade, .adi, .adp, .adpb, .adr, .ads, .adt, .aep, .aepx, .aes, .aet, .afp, .agd1, .agdl, .ai, .aif, .aiff, .aim, .aip, .ais, .ait, .ak, .al, .allet, .amf, .amr, .amu, .amx, .amxx, .ans, .aoi, .ap, .ape, .api, .apj, .apk, .apnx, .arc, .arch00, .ard, .ari, .arj, .aro, .arr, .arw, .as, .as3, .asa, .asc, .ascx, .ase, .asf, .ashx, .asm, .asmx, .asp, .aspx, .asr, .asset, .asx, .automaticdestinations-ms, .avi, .avs, .awg, .axx, .azf, .azs, .azw, .azw1, .azw3, .azw4, .b2a, .back, .backup, .backupdb, .bad, .bak, .bank, .bar, .bay, .bc6, .bc7, .bck, .bcp, .bdb, .bdp, .bdr, .bfa, .bgt, .bi8, .bib, .bic, .big, .bik, .bin, .bitstak, .bkf, .bkp, .bkup, .blend, .blob, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpk, .bpl, .bpw, .brd, .breaking_bad, .bsa, .bsk, .bsp, .btc, .btoa, .bvd, .c, .cag, .cam, .camproj, .cap, .car, .cas, .cat, .cbf, .cbr, .cbz, .cc, .ccc, .cccrrrppp, .ccd, .ccf, .cch, .cd, .cdf, .cdi, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cef, .cer, .cerber, .cerber2, .cerber3, .cert, .cfg, .cfp, .cfr, .cgf, .cgi, .cgm, .cgp, .chk, .chml, .cib, .class, .clr, .cls, .clx, .cmf, .cms, .cmt, .cnc, .cnf, .cng, .cod, .col, .con, .conf, .config, .contact, .coverton, .cp, .cpi, .cpio, .cpp, .cr2, .craw, .crd, .crinf, .crjoker, .crptrgr, .crt, .crw, .crwl, .cry, .cryp1, .crypt, .crypted, .cryptolocker, .cryptowall, .cryptra, .crypz, .cs, .csh, .csi, .csl, .cso, .csr, .css, .csv, .ctt, .cty, .cue, .cwf, .czvxce, .d3dbsp, .dac, .dal, .dap, .darkness, .das, .dash, .dat, .database, .dayzprofile, .dazip, .db, .db_journal, .db0, .db3, .dba, .dbb, .dbf, .dbfv, .db-journal, .dbx, .dc2, .dc4, .dch, .dco, .dcp, .dcr, .dcs, .dcu, .ddc, .ddcx, .ddd, .ddoc, .ddrw, .dds, .default, .dem, .der, .des, .desc, .design, .desklink, .dev, .dex, .dfm, .dgc, .dic, .dif, .dii, .dim, .dime, .dip, .dir, .directory, .disc, .disk, .dit, .divx, .diz, .djv, .djvu, .dlc, .dmg, .dmp, .dng, .dob, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .drf, .drw, .dsk, .dsp, .dtd, .dvd, .dvi, .dvx, .dwg, .dxb, .dxe, .dxf, .dxg, .e4a, .ecc, .edb, .efl, .efr, .efu, .efx, .eip, .elf, .emc, .emf, .eml, .enc, .enciphered, .encrypt, .encrypted, .enigma, .enx, .epk, .eps, .epub, .eql, .erbsql, .erf, .err, .esf, .esm, .euc, .evo, .ex, .exf, .exif, .exx, .ezz, .f90, .fantom, .faq, .fcd, .fdb, .fdr, .fds, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flp, .flv, .flvv, .for, .forge, .fos, .fpenc, .fpk, .fpp, .fpx, .frm, .fsh, .fss, .fun, .fxg, .gam, .gdb, .gfe, .gfx, .gho, .gif, .good, .gpg, .gray, .grey, .grf, .groups, .gry, .gthr, .gxk, .gz, .gzig, .gzip, .h, .h3m, .h4r, .ha3, .hbk, .hbx, .hdd, .herbst, .hex, .hkdb, .hkx, .hplg, .hpp, .hqx, .htm, .html, .htpasswd, .hvpl, .hwp, .ibank, .ibd, .ibz, .ico, .icxs, .idl, .idml, .idx, .ie5, .ie6, .ie7, .ie8, .ie9, .iff, .iif, .iiq, .img, .incpas, .indb, .indd, .indl, .indt, .info, .ink, .inx, .ipa, .iso, .isu, .isz, .itdb, .itl, .itm, .iwd, .iwi, .jac, .jar, .jav, .java, .jbc, .jc, .jfif, .jge, .jgz, .jif, .jiff, .jnt, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpw, .js, .json, .jsp, .just, .k25, .kc2, .kdb, .kdbx, .kdc, .kde, .kernel_complete, .kernel_pid, .kernel_time, .key, .keybtc@inbox_com, .kf, .kimcilware, .kkk, .klq, .kmz, .kpdx, .kraken, .kratos, .kwd, .kwm, .laccdb, .lastlogin, .lay, .lay6, .layout, .lbf, .lbi, .lcd, .lcf, .lcn, .ldb, .ldf, .lechiffre, .legion, .lgp, .lib, .lit, .litemod, .lngttarch2, .localstorage, .locked, .locky, .log, .lol!, .lp2, .lpa, .lrf, .ltm, .ltr, .ltx, .lua, .lvivt, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .mag, .magic, .man, .map, .mapimail, .max, .mbox, .mbx, .mcd, .mcgame, .mcmeta, .mcrp, .md, .md0, .md1, .md2, .md3, .md5, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdl, .mdn, .mds, .mef, .menu, .meo, .mfw, .mic, .micro, .mid, .mim, .mime, .mip, .mjd, .mkv, .mlb, .mlx, .mm6, .mm7, .mm8, .mme, .mml, .mmw, .mny, .mobi, .mod, .moneywell, .mos, .mov, .movie, .moz, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpq, .mpqge, .mpv2, .mrw, .mrwref, .mse, .msg, .msi, .msp, .mts, .mui, .mxp, .myd, .myi, .nav, .ncd, .ncf, .nd, .ndd, .ndf, .nds, .nef, .nfo, .nk2, .nop, .now, .nrg, .nri, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .number, .nvram, .nwb, .nx1, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odcodc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .oil, .opd, .opf, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .owl, .oxt, .p12, .p5tkjw, .p7b, .p7c, .pab, .pack, .padcrypt, .pages, .pak, .paq, .pas, .pat, .paym, .paymrss, .payms, .paymst, .paymts, .payrms, .pays, .pbf, .pbk, .pbp, .pbs, .pcd, .pct, .pcv, .pdb, .pdc, .pdcr, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkey, .pkh, .pkpass, .pl, .plb, .plc, .pli, .plus_muhd, .pm, .pmd, .png, .po, .poar2w, .pot, .potm, .potx, .ppam, .ppd, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prel, .prf, .props, .prproj, .prt, .ps, .psa, .psafe3, .psd, .psk, .pspimage, .pst, .psw6, .ptx, .pub, .purge, .puz, .pwf, .pwi, .pwm, .pxp, .py, .pzdc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qel, .qic, .qif, .qpx, .qt, .qtq, .qtr, .r00, .r01, .r02, .r03, .r3d, .r5a, .ra, .ra2, .raf, .ram, .rar, .rat, .raw, .razy, .rb, .rdb, .rdi, .rdm, .re4, .rekt, .res, .result, .rev, .rgn, .rgss3a, .rim, .rll, .rm, .rng, .rofl, .rokku, .rpf, .rrk, .rrt, .rsdf, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rvt, .rw2, .rwl, .rwz, .rzk, .rzx, .s3db, .sad, .saf, .safe, .sas7bdat, .sav, .save, .say, .sb, .sc2save, .sch, .scm, .scn, .scx, .sd0, .sd1, .sda, .sdb, .sdc, .sdf, .sdn, .sdo, .sds, .sdt, .search-ms, .securecrypted, .sef, .sen, .ses, .sfs, .sfx, .sgz, .sh, .shar, .shr, .shw, .shy, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .slt, .sme, .snk, .snp, .snx, .so, .spd, .spr, .sql, .sqlite, .sqlite3, .sqlitedb, .sqllite, .sqx, .sr2, .srf, .srt, .srw, .ssa, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stt, .stw, .stx, .sud, .suf, .sum, .surprise, .svg, .svi, .svr, .swd, .swf, .switch, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .szf, .t01, .t03, .t05, .t12, .t13, .tar, .tax, .tax2013, .tax2014, .tbk, .tbz2, .tch, .tcx, .tex, .text, .tg, .tga, .tgz, .thm, .thmx, .tif, .tiff, .tlg, .tlz, .toast, .tor, .torrent, .tpu, .tpx, .trp, .ts, .ttt, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .uea, .umx, .unity3d, .unr, .unx, .uop, .uot, .upk, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uu, .uud, .uue, .uvx, .uxx, .val, .vault, .vbox, .vbs, .vc, .vcd, .vcf, .vdf, .vdi, .vdo, .venusf, .ver, .vfs0, .vhd, .vhdx, .vlc, .vlt, .vmdk, .vmf, .vmsd, .vmt, .vmx, .vmxf, .vob, .vp, .vpk, .vpp_pc, .vsi, .vtf, .vvv, .w3g, .w3x, .wab, .wad, .wallet, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wflx, .windows10, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmo, .wmv, .wmx, .wotreplay, .wow, .wpd, .wpe, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x11, .x3f, .xf, .xis, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlv, .xlw, .xlwx, .xml, .xpi, .xps, .xpt, .xqx, .xsl, .xtbl, .xvid, .xwd, .xxe, .xxx, .xyz, .yab, .ycbcra, .yenc, .yml, .ync, .yps, .yuv, .z02, .z04, .zap, .zcrypt, .zepto, .zip, .zipx, .zoo, .zps, .ztmp, .zyklon, .zzz (1135 расширений). 

Сканирует ПК на поиск только папок, которые не содержат одну из следующих строк в своем пути:
intel
nvidia
Windows
AppData
All Users
Program Files
Program Files (x86)
System Volume Information
Application Data
$RECYCLE.BIN

Пропускает и не шифрует файлы из следующих директорий:
%windir%
%appdata%
%programdata%
%programfiles%

%allusersprofile%

В качестве обоев рабочего стола ставится эпатажное изображение от вымогателей. 
С этой целью используется постер из триллера-антиутопии «Судная ночь-3» («The Purge»). 

Сетевые подключения и связи: 
Email: powerbase@tutanota.com
BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5

 Файлы, связанные с Ransomware: 
How to restore files.hta
%UserProfile%\AppData\Local\msiscan.exe
%UserProfile%\How to decrypt your files.jpg

 Записи реестра, связанные с Ransomware: 
HKCU\Software\Globe
HKCU\Software\Globe\ "idle"
HKCU\Software\Globe\ "debug"
HKCU\Control Panel\Desktop\ "Wallpaper"   "%UserProfile%\How to decrypt your files.jpg"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run    "How to restore files" = "mshta.exe "%UserProfile%\How to restore files.hta""

PS. Уже готовая моя статья был дополнена 24 августа 2016 тремя последними абзацами из статьи Лоуренса Адамса, начиная со списка расширений. За что ему большое спасибо. 

См. также статьи по Globe2Russian GlobeFake GlobeGlobe3

Степень распространённости: высокая
Подробные сведения собираются.

Дополнение: Globe Ransom Builder
Как можно видеть ниже, у крипто-вымогателей этого семейства имеются разные признаки идентификации, потому что они отличаются то в добавляемом расширении, то в записке, то ещё в чём-то. Это реализовывается благодаря крипто-строителю Globe Ransom Builder, чтобы злоумышленники, купившие RaaS, могли изменять некоторые настройки шифровальщика "под себя". Скриншот смотрите ниже. 

Globe Ransom Builder

Позже Builder был изменен и стал использоваться в более новых вымогательских проектах, в том числе Scarab-Amnesia и Scarab-Bomber Ransomware (в конце этой статьи есть скриншоты нового Builder-а)



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 сентября 2016:
Новое расширение: .globe 
Новый email: deyscriptors24@india.com

Обновления без даты 2016:

Новые email: viewclear@yandex.com, mia.kokers@aol.com, okean-1955@india.com 
Новые расширения: .okean-1955@india.com.!dsvgdfvdDVGR3SsdvfEF75sddf#xbkNY45fg6}P{cg.xtbl
и т.п.

Обновление от 27 сентября 2016:

Расширение: .xitreu@india.com

Обновление от 31 октября 2016:
Расширение: .GSupport2
Новый email: goodsupport@india.com
Результаты анализов: VT, Malwr

Обновление от 4 ноября 2016:
Расширение: .siri-down@india.com
Записка о выкупе: Read Me Please.hta
Новый email: siri-down@india.com
Результаты анализов: HA, VT

Обновление от 12 ноября 2016:
Пост в Твиттере >>
Расширение: .zendrz
Записка: Read Me Please.hta
Результаты анализов: VT

Обновление от 14 ноября 2016:
Расширение: .GSupport3
Email: goodsupport@india.com
Записка о выкупе: Read Me Please.hta

Обновление от 23 ноября 2016:
Расширение: .grapn206@india.com
Записка: Read Me Please.hta
Email: grapn206@india.com
Результаты анализов: VT

Обновление от 24 ноября 2016:
Расширение: .globe
Записка о выкупе: Read Me Please.hta
Email: kuprin@india.com
Результаты анализов: VT

Обновление от 24 ноября 2016:
Расширение: .UCRYPT
Записка: Read Me Please.hta
Результаты анализов: VT

Обновление от 29 ноября 2016:
Расширение: .decryptallfiles@india.com
Записка о выкупе: Read Me Please.hta
Email: decryptallfiles@india.com
Результаты анализов: VT
Описание в статье ESET >> 
В этом варианте список расширений уже включал 1135 расширений файлов. 

Обновление от 3 декабря 2016:
Расширение: .nazarbayev
Файл: nazerke.exe
Результаты анализов: VT
Декриптер как для Globe2 >>

Обновление от 25 декабря 2016:
Расширение: .globe
Записка о выкупе: Read Me Please.hta
Email: server1@mailfence.com
Результаты анализов: VT

Обновление от 28 декабря 2016:

Топик на форуме >>
Расширение: .gangbang

Обновление от 4 января 2017:
Расширение: .hnumkhotep@india.com.hnumkhotep
Записка: How To Recover Encrypted Files.hta
Файл: svchost.exe
Результаты анализов: VT

Обновление от 29 января 2017:
Расширение: .decrypr_helper@india.com
Записка: How to restore files.hta
Email: decrypr_helper@india.com
Результаты анализов: HA, VT

Обновление от 20 марта 2017:
Расширение: .badadmin@india.com
Email: badadmin@india.com
Результаты анализов: VT

Обновление от 4 апреля 2017:
Расширение: .[data97@india.com].aa
Email: data97@india.com
Результаты анализов: HA+VT





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать и использовать Globe Decrypter по инструкции >>
Скачать и использовать Globe-2 Decrypter по инструкции >>
Скачать и использовать Globe-3 Decrypter по инструкции >>
***
Read to links: 
Decrypter for Globe3
ID Ransomware
 Thanks: 
 Fabian Wosar
 Michael Gillespie
 Andrew Ivanov, Alex Svirid, Mihay Ice
 ...and others, who sent the samples for analysis

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 16 августа 2016 г.

Shark RaaS

Shark Ransomware 


   Этот вымогательский Project Shark даёт потенциальным преступникам возможность создавать своих собственных вымогателей, настраиваемых под свои желания без необходимости иметь навыки в программировании. Достаточно просто заполнить форму и нажать на кнопку создания собственного вымогателя. При использовании этого сервиса разработчики Shark RaaS будут удерживать 20% от платежей за выкуп и отдавать оставшуюся наибольшую часть дистрибьюторам-аффилятам. 

★ Для справки:
RaaS (Ransomware as a Service) — вымогатель как услуга, бизнес-модель. Стоимость услуги составляет обычно 20-30% от суммы выкупа, установленного для жертвы вымогателем. Оплата выкупа производится только в Bitcoin. Разработчики проекта удерживают установленный процент, а остальную сумму переводят своим аффилятам.

Релизный Project Shark начал работу в июле 2016 года и был размещен на общедоступном сайте на базе WordPress. Это необычно, так как RaaS и разработчики вымогателей, как правило, размещают свои сайты в сети анонимных ссылок TOR, т.к. это затрудняет властям поиск и идентификацию преступников. 

Любой желающий стать партнером-дистрибьютором [одновременно и подельником киберперступников!] по распространению крипто-вымогателей может просто зайти на сайт и, нажав на кнопку загрузки, загрузить файл PayloadBundle.zip. 

В этом архиве содержится крипто-строитель (крипто-конструктор) Payload Builder.exe, текстовая записка Readme.txt и готовый исполняемый файл вымогателя Shark.exe

Если по неосторожности запустить исполняемый файл ради посмотреть, то он сразу начнет свою работу по шифрованию файлов. Вымогательство — это преступление, а не игра.

Большинство вымогателей в качестве предлагаемых услуг используют свой веб-сайт, чтобы позволить настроить исполняемый файл до его загрузки. Shark RaaS делает иначе, т.к. предоставляет базовый исполняемый файл вымогателей, позволяя потенциальным преступникам самим, на своем ПК, сгенерировать желаемую конфигурацию, изменяя функциональность базового комплекта вымогателя, и создать собственный вымогатель.

Для этого настраиваются параметры конфигурации: Bitcoin-адрес, директории размещения, форматы целевых файлов, сумма выкупа, включая цены по странам, email-адрес для контакта. К зашифрованным файлам будет добавляться расширение .locked 

Имя каждого зашифрованного файла будет храниться в специальном файле files.ini в директории %UserProfile%\AppData\Roaming\Settings\ . Также будет извлечен exe-файл со случайным именем под названием "Decrypter" в  директорию %UserProfile%\AppData\Roaming\Settings.

Когда закончится шифрование, будет запущен "Decrypter", в окне которого говорится "Data on this device were locked" (Данные на этом устройстве были заблокированы), а на третьем шаге процесса, объясняется, как платить выкуп. Жертва может выбрать 30 различных языков для отображения инструкции в экрана декриптора.

От жертвы требуется ввести свой email-адрес, а затем произвести оплату по указанному Bitcoin-адресу. Затем сообщается, что пароль будет отправлен жертве после произведения ею оплаты.

Если будет какая-либо дополнительная информация, то я обновлю эту статью. Источник

Распространяется как услуга — RaaS. 

Определяется продуктами Symantec как Trojan.Ransomcrypt.BG >>

 Список файловых расширений, подвергающихся шифрованию: 
.bmp, .doc, .docx, .gif, .jpeg, .jpg, .m4v, .mp4, .odt, .pdf, .png, .ppt, .pptx, .psd, .rtf, .txt, .xls, .xlsx (18 расширений).
 Это умолчательный список. Нужный список также задаётся клиентом в Payload Builder.exe

Файлы, связанные с Shark Ransomware: 
Payload Builder.exe
%AppData%\Settings\[Random_chars].exe 
%AppData%\Settings\file.ini 
%SystemDrive%\Documents and Settings\All Users\Desktop\UNLOCK ME.url 

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\decrypter=%AppData%\Settings\[Random_chars].exe 

Результаты анализов:
Symantec: Ransom.SharkRaaS >>

 Степень распространённости: пока не определена. 
 Подробные сведения собираются.

понедельник, 15 августа 2016 г.

Korean

Korean Ransomware

Korean Talk Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Название неизвестно. 

 К зашифрованным файлам добавляется расширение .암호화됨 (т.е. "Зашифровано" на русском или "Encrypted" на английском). 
Ориентирован на корейских пользователей. 

© Hidden Tear >> Korean Ransomware


Записки с требованием выкупа называются: ReadMe.txt и скринлок на экране. Перевод автора блога. 

Содержание записки:
당신 의 파일 이 암호화 되었습니다. zMUTnnIOp/Ns&3G[Password]

Перевод текста из записки на русский:
Ваши файлы были зашифрованы. zMUTnnIOp/Ns&3G[Password]

1-й экран (для уведомления)

2-й экран (для проведения оплаты)

Содержание текста с 1-го экрана: 
당신의 파일이 암호화 되었습니다.
토르 브라우저틑 다운로드하고 
xxxx://www.torproject.org/projects/torbrowser.html.en
xxxx://t352fwt225ao5mom.onion
당신의 이툴 입력하써요 그후
절 에 프로에스튠 진행하십 시요


Перевод текста с 1-го экрана на русский язык: 
Ваши файлы были зашифрованы.
Загрузите и установите Tor-браузер
http://www.torproject.org/projects/torbrowser.html.en
http://t352fwt225ao5mom.onion
Откройте и введите ваш ID-код
Следуйте инструкциям на сайте.


Перевод текста со 2-го экрана на русский язык: 
Ваши файлы были зашифрованы.
Перейти по адресу для оплаты
xxxx://2dasasfwt225dfs5mom.onion.city
Проверьте информацию для дешифрования.
Вернуться на сайт дешифрования. 
Требуется Tor-браузер.


На сайте t352fwt225ao5mom.onion можно выбрать язык интерфейса из 25 языков (русского нет). Напоминает сервис дешифровки от CrypMIC, видимо ему и подражает. Корейские версии CryptoLocker и Radamant, в том числе и подражательские, в прошлом году были наиболее распространенными крипто-вымогателями для корейских пользователей. 

Как можно увидеть из надписи на сайте, этот "Decryption service" вымогателей работает уже 2 месяца. 

 Распространяется с помощью email-спама и вредоносных вложений. 

 Список файловых расширений, подвергающихся шифрованию: 
Как минимум для вымогателей на основе Hidden Tear: 
.asp, .aspx, .bat, .bmp, .csv, .doc, .docx, .html, .hwp, .java, .jpg, .kys, .mdb, .mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rtf, .sln, .sql, .txt, .URL, .xls, .xlsx, .xml, .zip,  (30 расширений). 

 Файлы, связанные с Ransomware: 
ReadMe.txt
<random>.exe

 Расположения: 
C:\Users\User_Name\Desktop\ReadMe.txt

 Сетевые подключения и связи: 
Email: powerhacker03@hotmail.com
xxxx://www.torproject.org/projects/torbrowser.html.en
xxxx://t352fwt225ao5mom.onion
xxxx://2dasasfwt225dfs5mom.onion.city


Результаты анализов: 
Детект на VirusTotal >>

 Степень распространённости: низкая (только для одной страны). 
 Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 13 августа 2016 г.

PokemonGO

PokemonGO Ransomware 

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, но никакой привычной в биткоинах суммы выкупа не сообщает, чтобы вернуть файлы обратно. Название происходит от популярной игры для мобильных устройств, персонажа из которой вымогатели используют. 

© Генеалогия: Hidden Tear >> PokemonGO

К зашифрованным файлам добавляется расширение .locked
Ориентирован на арабских пользователей. 

  Записка с требованием выкупа называется: هام جدا.txt ("Очень важно" на арабском).

Содержание записки о выкупе: 
(: لقد تم تشفير ملفاتكم، لفك الشفرة فلكسي موبيليس للعنوان التالي me.blackhat20152015@mt2015.com وشكرا على كرمكم مسبقا 

Перевод записки на русский язык (Google Translation): 
(: Ваши файлы были зашифрованы, дешифровка Falaksa Mobilis на следующий адрес me.blackhat20152015@mt2015.com и заранее благодарим вас за вашу щедрость.

Вымогатель использует значок покемон-персонажа Pikachu.

Этот криптовымогатель также устанавливает в систему скринсейвер (заставку), которая демонстрирует Пикачу на чёрном экране с надписью на арабском языке. Кажется это первый случай использования вымогателями собственной заставки вместо обоев. Видимо, покемоны очень популярны в арабских странах. Никогда бы не подумал. :)


Распространяется с помощью загружаемых инфицированных файлов. Добавляется в Автозагрузку системы, чтобы запускаться при каждом входе пользователя в систему. Также создается учетная запись нового пользователя Hack3r (типа: хакер) с правами администратора. 


Затем он скрывает эту учетную запись от просмотра на экране входа в Windows, путем внесения изменения в реестре: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList "Hack3r" = 0

PokemonGo пытается распространить себя путем копирования исполняемого файла на все съёмные диски. Для этого он создает файл Autorun.inf, чтобы вымогатель запускался каждый раз, когда кто-то вставляет съемный диск в ПК. Содержимое этого файла Autorun.inf следующее:
[AutoRun]
OPEN=PokemonGo.exe
ICON=PokemonGo.exe

PokemonGo также копирует исполняемый файл в корневой каталог каждого локального диска и устанавливает запись автозапуска с именем PokemonGo, чтобы запускать его, когда пользователь входит в систему Windows.

Вероятно, вымогатель на момент написания статьи был тестовым или недоработанным вариантом. В частности, об этом говорит использование статического AES-ключа 123vivalalgerie. 

Название этого ключа содержит фразу "vivalalgerie" (Виват Алжир), что указывает на алжирское происхождение разработчика крипто-вымогателя. 

В релизном варианте Pokemon-вымогатель будет генерировать произвольный ключ и загружать его на C&C-сервер своего разработчика. Расширенный анализ

Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .csv, .doc, .docx, .gif, .htm, .html, .jpg, .mdb, .mht, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rtf,  .sln, .sql, .txt, .xls, .xlsx, .xml (25 расширений). 

Файлы, связанные с Ransomware: 
 C:\Users\User_name\Desktop\pk - (пароль)
 C:\Users\User_name\Desktop\هام جدا.txt - (записка о выкупе)
 %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[random].exe     PokemonGo.exe  - (случайное название для этого экземпляра).

Записи реестра, связанные с Ransomware: 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PokemonGo"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\Hack3r

Сетевые подключения и связи:
URL: xxxxs://pokemongo.icu/


Степень распространённости: средняя (с новыми вариантами). 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 12 августа 2016 г.

Smrss32

Smrss32 Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Название получил от исполняемого файла smrss32.exe. 

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на июнь-июль 2016 г., но по всей видимости использование будет продолжено. 

  Записка с требованием выкупа называется _HOW_TO_Decrypt.bmp и располагается в каждой папке с зашифрованными файлами. 

Также используется файл wallpaper.bmp с аналогичным содержанием, встающий обоями рабочего стола. Судя по содержанию, выдает себя за CryptoWall Software, коим не является. 

 Содержание записки о выкупе (левая часть скриншота):
INTRODUCTION
Data encryption involves converting and transforming data into scrambled, unreadable, cipher-text using non-readable mathematical calculations and algorithms Restoring requires a corresponding decryption algorithm in form of software and the decryption key.
Data encryption is the process of transforming information by using some algorithm to make it unreadable to anyone except those possessing a key.
In addition to the private key you need the decryption software with which you can decrypt your files and return everything to the same level as it was in the first place. Any attempts to try restore you files with the third-party tools will be fatal for your encrypted content.
I almost understood but what do I have to do?
The first thing you should do is to read the instructions to the end. Your files have been encrypted with the "CryptoWall" Software The instructions, along with encrypted files are not viruses, they are you helpers After reading this text, 99% of people turn to a search engine with the word "CryptoWall" where you'll find a lot of thoughts, advices and instructions.
Unfortunately, antivirus companies are not and will not be able to restore your files. Moreover, they make things worse by removing instructions to restore encrypted content Antivirus companies will not be able to help decrypt your encrypted data, unless the correct software and unique decryption key is used.
Fortunately, our team is ready to help to provide instructions to decrypt your encrypted content. Keep in mind that the worse has already happened and the further life of your files directly depends on determination and speed of your actions. Therefore, we advice not to delay and follow "HOW TO DECRYPT" instructions. 
After purchasing a software package with the unique decryption key you'll be able to:
1. Decrypt all your files
2. Work with your documents
3. View your photos and other media content
4. Continue habitual and comfortable work at your computer
If you are aware of the whole importance and criticality of the situation, then we suggest to go directly to the below "HOW TO DECRYPT" instructions where you will be given final simple steps, as well as guarantees to restore your files.

 Перевод на русский язык (стиль авторов сохранён): 
ВВЕДЕНИЕ
Шифрование данных состоит из преобразования и трансформации данных в непонятный, нечитаемый, шифрованный текст с использованием алгоритмов шифрования. Восстановление требует соответствующего алгоритма дешифрования в виде ПО и ключа дешифрования.
Шифрование данных представляет собой процесс преобразования информации с помощью некоего алгоритма, чтобы сделать его нечитаемым никому, кроме тех, кто обладает ключом.
В дополнение к закрытому ключу требуется ПО дешифрования, с помощью которого можно расшифровать файлы и вернуть все на том же уровне, как это было в первую очередь. Любые попытки восстановить вам файлы с помощью иных инструментов будут фатальным для вашего зашифрованного контента.
Я почти понял, но что я должен делать?
Первое, что вы должны сделать, это прочитать инструкцию до конца. Ваши файлы были зашифрованы CryptoWall Software. Инструкции вместе с зашифрованными файлами не являются вирусами, они помогут вам после прочтения этого текста, 99% людей обращаются к поисковой системе со словом "CryptoWall", где вы найдёте много мыслей, советов и инструкций.
К сожалению, антивирусные компании не смогут восстановить ваши файлы. Кроме того, они сделают хуже, удалив инструкции для восстановления зашифрованного контента. Антивирусные компании не смогут помочь расшифровать зашифрованные данные, если не используется правильное программное обеспечение и уникальный ключ дешифрования.
К счастью, наша команда готова помочь предоставить инструкции для расшифровки зашифрованного контента. Имейте в виду, что худшее уже произошло, и дальнейшая жизнь ваших файлов напрямую зависит от точности и скорости ваших действий. Поэтому мы рекомендуем не затягивать и следовать инструкции "HOW TO DECRYPT".
После покупки пакета ПО с уникальным ключом дешифрования вы сможете:
1. Расшифровать все файлы
2. Работать с документами
3. Просматривать фотографий и другие медиа-файлы
4. Продолжить привычную и комфортную работу на вашем компьютере
Если вы узнали о всей важности и критичности ситуации, то мы предлагаем перейти непосредственно к инструкции "HOW TO DECRYPT", где будут описаны завершающие простые шаги, а также гарантии для восстановления файлов.


Технические детали

Распространяется через спам с вложениями, в которых могут присутствовать новости о претендентах на пост президента США (на английском, испанском, бразильском и прочих языках). 

Зачастую устанавливается вручную после взлома систем при подключении к удаленному рабочему столу по протоколу RDP.

Почему это возможно? 
Есть много различных способов взлома RDP-подключений, но чаще используется IP-сканер,  с помощью которого хакеры выбирают стандартный порт 3389 для сканирования определенного диапазона IP-адресов. Хакерская программа находит и сохраняет список найденных IP-адресов, потом подключается к каждому найденному компьютеру и в автоматическом режиме методом перебора пытается ввести логин и пароль. При успешном входе в аккаунт администратора хакеры получают полный доступ к его ПК и компьютерам его сети.

 Список файловых расширений, подвергающихся шифрованию: 
.18113 .3gp2 .3gpp .8pbs .acs2 .acsm .aifc .aiff .albm .amff .ascx .asmx .aspx .azw3 .back .backup .backupdb .bank .bdmv .blob .bndl .book .bsdl .cache .calb .cals .cctor .cdda .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .ciff .class .clipflair  .clpi .conf .config .contact .craw .crtr .crtx .ctor .ctuxa .d3dbsp .data .dazip .ddat .ddoc .ddrw .desc .divx .djvu .dmsk .dnax .docb .docm .docx .dotm .dotx .dsp2 .dump .encrypted .epfs .epub .exif .fh10 .flac .fmpp .forge .fsproj .gray .grey .group .gtif .gzip .h264 .hkdb .hplg .html .hvpl .ibank .icns .icxs .ilbm .im30 .incpas .indd .indt .ipsw .itc2 .itdb .ithmb .iw44 .java .jfif .jhtml .jnlp .jpeg .json .kdbx .kext .keychain .keychain .kpdx .lang .latex .lay6 .layout .ldif .litemod .log1 .log2 .log3 .log4 .log5 .log6 .log7 .log8 .log9 .m2ts .m3url .macp .maff .mcmeta .mdbackup .mddata .mdmp .menu .midi .mobi .moneywell .mp2v .mpeg .mpga .mpls .mpnt .mpqge .mpv2 .mrwref .ms11 .msmessagestore .mspx .mswmm .oeaccount .opus .otpsc .pack .pages .paint .phtml .pict .pj64 .pkpass .pntg .potm .potx .ppam .ppsm .ppsx .pptm .pptx .ppxps .psafe3 .psmdoc .pspimage .qcow2 .qdat .qzip .rels .rgss3a .rmvb .rofl .rppm .rtsp .s3db  .sas7bcat .sas7bdat .sas7bndx .sas7bpgm .sas7bvew .sidd .sidn .sitx .skin .sldm .sldx .smil  .sqlitedb .svg2 .svgz .targa .temp .test .text .tiff .tmpl .torrent .trace .tt10 .uns2 .urls .user .vcmf .vfs0 .view .vmdk .wallet .wbmp .webm .webp .wlmp .wotreplay .wrml .xbel .xfdl .xhtml .xlam .xlsb .xlsm .xlsx .xltm .xltx .xspf .xvid .ycbcra .ychat .yenc .zdct .zhtml .zipx .ztmp (233 расширения; список очищен от дублей типа .BACKUPDB и .backupdb). 

Шифровальщиком пропускаются файлы с расширением .bmp, чтобы не затронуть файл с вымогательским текстом. 

При расширенном анализе других образцов было обнаружено, что весь список расширений содержит 6674 расширения, но в нем почти половина — это дубликаты в верхнем и нижнем регистре. 

При шифровании пропускаются папки и файлы, находящиеся в следующих директориях:
AppData, Application Data, Boot, Games, Program Files, Program Files (x86), Program Data, Sample Music, Sample Pictures, System Volume Information, Temp, Windows, cache, tmp, winnt и thumbs.db. 

 Файлы и папки, связанные с Ransomware:
_HOW_TO_Decrypt.bmp
wallpaper.bmp
smrss32.exe - исполняемый файл вымогателя
%ALLUSERSPROFILE%\Wallpaper
%ALLUSERSPROFILE%\Wallpaper\wallpaper.bmp

Сетевые подключения и связи:
Email: helprecover@ghostmail.com

Гибридный анализ >>
VirusTotal анализ >>

 Степень распространённости: низкая. 
 Подробные сведения собираются.

вторник, 9 августа 2016 г.

REKTLocker

REKTLocker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей якобы с помощью 2048-битного шифрования, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. На самом деле шифрование производится с помощью AES, а криптовымогатель основан на исходном коде HiddenTear. К зашифрованным файлам добавляется расширение .rekt.

© Генеалогия: HiddenTear >> REKTLocker 

 Записка с требованием выкупа называется Readme.txt. К ней добавляется скринлок. 

Текст со скринлока:
Your PC has been locked with 2048 bit encryption. REKTLocker.

Перевод на русский:
Ваш ПК заблокирован с 2048-бит шифрованием. REKTLocker.

 Содержание текстовой записки о выкупе: 
Your computer has been encrypted.
Send 1 BTC to *** or your files will be permanently encrypted.
Decryptor:
other peoples keys will not work on your computer.
Do not think your antivirus will save you, it will not.

 Перевод записки на русский язык: 
Ваш компьютер был зашифрован.
Отправь 1 BTC на *** или файлы останутся зашифрованными.
Декриптор:
ключи других людей не будут работать на вашем ПК.
Не думайте, что ваш антивирус спасет вас, это не так.

 Распространяется с помощью email-спама и вредоносных вложений. 

 Список файловых расширений, подвергающихся шифрованию: 
.3gp, .7z, .apk, .asm, .avi, .bmp, .c, .cal, .casb, .ccp, .cdr, .cer, .chm, .ckp, .cmx, .conf, .cpp, .cr2, .cs, .css, .csv, .dacpac, .dat, .db, .db3, .dbf, .dbx, .dcx, .djvu, .doc, .docm, .docx, .drw, .dwg, .dxf, .epub, .fb2, .flv, .gif, .gz, .ibooks, .iso, .java, .jpeg, .jpg, .js, .key, .md2, .mdb, .mdf, .mht, .mhtm, .mkv, .mobi, .mov, .mp3, .mp4, .mpeg, .mpg, .mrg, .pdb, .pdf, .php, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .psd, .psd, .psp, .py, .rar, .rb, .rbw, .rtf, .sav, .scr, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .tbl, .tif, .tiff, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xml, .xps, .zip (97 расширений).

ВАЖНО!!! В данном случае нет никакого способа связи с вымогателями после уплаты выкупа. Таким образом становится ясно, что дешифровка и не планировалась. Тот, кто переведёт деньги, потеряет и деньги, и данные.  Теневые копии файлов REKTLocker не удаляет, поэтому их можно использовать для восстановления части своих данных. 

 Степень распространённости: низкая. 
 Подробные сведения собираются.

воскресенье, 7 августа 2016 г.

Hitler

Hitler Ransomware

(фейк-шифровальщик, шифровальщик-вымогатель)


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 25 Евро с Vodafone Card, чтобы вернуть файлы обратно. 

  Записки с требованием выкупа нет. Вместо неё используется экран блокировки, отображающий Гитлера с поднятой рукой, на котором имеется короткая фраза о том, что файлы были зашифрованы. Для оплаты выкупа за дешифровку нужно ввести код с 25-евровой Vodafone Card и нажать жёлтую кнопку "Decrypt" для запуска процесса дешифровки. Разработчик, судя по всему, немецкого происхождения и не слишком грамотный, раз допустил ошибку в названии Hitler-Ransonware (буква "n" вместо правильной "m").
Экран блокировки вымогателя

Изображение я размыл в фоторедакторе. Как выглядит оригинальный экран блокировки, см. здесь

Как было обнаружено, этот вымогатель всего лишь тестовый вариант. Его разработчик рассказал это в краткой фразе в пакетном файле. 

Шифрование файлов вообще не производится, а вместо этого удаляются расширения у всех файлов в следующих каталогах:
%userprofile%\Pictures
%userprofile%\Documents
%userprofile%\Downloads
%userprofile%\Music
%userprofile%\Videos
%userprofile%\Contacts
%userprofile%\Links
%userprofile%\Desktop
C:\Users\Public\Pictures\Sample Pictures
C:\Users\Public\Music\Sample Music
C:\Users\Public\Videos\Sample Videos

После этой операции вымогатель выставляет экран блокировки с текстом условий, ниже которого включается обратный отсчет времени. Через час он вырубает компьютер в синий BSOD-экран, который будет висеть, пока жертва не перезагрузит ПК. При перезагрузке Hitler-вымогатель удалит все файлы, находящиеся в директории пользователя %USERPROFILE%.

Подробности о файлах вымогателя:
Основным исполняемым файлом вымогателя является пакетный файл, который преобразуется в exe-файл в купе с другими файлами (chrst.exe, ErOne.vbs, firefox32.exe), у каждого из которых свои задачи.
Файл chrset.exe отображает экран блокировки с таймером, через час завершает системный процесс csrss.exe, что приводит к BSOD-у. После перезагрузки и входа в систему автоматически запускается файл firefox32.exe и удаляет все файлы в папке% USERPROFILE%. Файл ErOne.vbs выводит алерты типа "Файл не найден" после удаления расширений файлов и других своих операций, чтобы заставить жертву думать, что программа, которую он хочет запустить, просто некорректно работает.
VBS-алерт, как результат работы файла ErOne.vbs

BSOD, вызванный завершением процесса csrss.exe

Удаление файлов, произведенное файлом firefox32.exe

Файлы, связанные с Hitler Ransomware
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\firefox32.exe
%Temp%\[folder].tmp\
%Temp%\[folder].tmp\chrst.exe
%Temp%\[folder].tmp\ErOne.vbs
%Temp%\[folder].tmp\firefox32.exe
ExtraTools.bat
ExtraTools.exe
ErOne.vbs
ransomware_hitler.exe

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
Symantec: Ransom.Hit >>

Т.к. файлы всё же не шифруются, то я отношу Hitler Ransomware к фейк-шифровальщикам. В новой версии шифрование уже может быть реализовано. 

Степень распространённости: низкая. 

Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 сентября 2016:
Название: CainXPii
Расширение .CainXPii
Шифрование: нет. 
См. статью CainXPii Ransomware 


Обновление от 28 января 2017:
Пост в Твиттере >>
Hitler Ransomware финальная версия
Расширение: .Nazi
Файлы: HitlerRansom.exe, YOUR-BILL.pdf.exe
Фальш-имя: Adobe Reader
Результаты анализов: HA+VT
<< Экран блокировки
Судя по некоторым местам экрана блокировки этого Ransomware, то и эта "финальная" версия еще далека до релизной версии. 



Обновление от 6 ноября 2017:
Пост в Твиттере >>
🎥 Видеообзор >>
Название: Adolf Hitler
Файл: Adolf Hitler.exe
Шифрование: есть
Расширение: .AdolfHitler
Сумма выкупа: 20€ в BTC
BTC: 1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB
Страны: Китай, Гонконг.
Результаты анализов: HA+VT
Скриншоты (изображение на обоях и экран блокировки):
Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. Используется RDP для проникновения.  
Не знаю, является ли эта версия продолжением первой, представленной во главе статьи, но делать ещё одну статью с фотографиями Гитлера я бы не стал. 

*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 JAMESWT‏ 
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *