Если вы не видите здесь изображений, то используйте VPN.

среда, 24 августа 2016 г.

Domino

Domino Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью якобы AES-1024 (на самом деле AES-256), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. 

© Генеалогия: Hidden Tear >> Domino

Этимология названия: 
Название происходит от слова Domino, использованного в записке о выкупе. 

К зашифрованным файлам добавляется расширение .domino

Записки с требованием выкупа называются README_TO_RECURE_YOUR_FILES.txt и HelloWorld!

Записка README_TO_RECURE_YOUR_FILES.txt  размещается на рабочем столе, а HelloWorld извлекается из exe-файла. 





Содержание записки о выкупе:
Your file had been encrypted with AES 1024 bit key!!
How to decrypt your files:
1. Send me 1 bitcoin to: 1AkHpPZ18f3QAygdMV2W4R4QjkzYxDkNEA
2. After send bitcoin, send me your (computer name + user name + bitcoin address) to email 61f1e8055af3f6a672959e6b0493a2@gmail.com to get password!
3. Using your password to decrypt your files!
If you didn't do this, your password to decrypt your file will be destroy after 72 hour.
Winter Is Coming!
How to buy bitcoin:
https://www.coinbase.com/buy-bitcoin?locale=en
https://localbitcoins.com/guides/how-to-buy-bitcoins
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
(....Domino.............)
***

Перевод записки на русский язык (оригинальный сленг сохранен):
Твой файл был зашифрован с AES 1024 бит ключ!!
Как дешифровать файлы:
1. Пришли мне 1 Bitcoin на: 1AkHpPZ18f3QAygdMV2W4R4QjkzYxDkNEA
2. После отправить Bitcoin, пришли мне твои (имя компьютера + имя пользователя + Bitcoin адрес) на email  61f1e8055af3f6a672959e6b0493a2@gmail.com, чтобы получить пароль!
3. Используй пароль для расшифровки файлов!
Если ты не сделал этого, твой пароль для дешифровки твой файл будет уничтожен через 72 часа.
Зима приближается!
Как купить Bitcoin:
https://www.coinbase.com/buy-bitcoin?locale=en
https://localbitcoins.com/guides/how-to-buy-bitcoins
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
(....Домино.............)
/ В конце пририсована корова в ASCII /

Domino Ransomware распространяется с помощью программ для взлома, в частности как инсталлятор ПО KMSpico. Во время работы якобы мастера установки KMSpico на самом деле вредоносная программа в фоновом режиме выполняет шифрование всех файлов пользователя с помощью алгоритма AES. Разумеется, что установщик реального KMSpico был предварительно взломан и модифицирован, чтобы шифровать файлы пользователей. 


При выполнении KMSpico извлекается файл со случайным именем в папку %Temp%. Затем уже тот выполняется и извлекает защищённый паролем файл Help.zip. Пароль к архиву — abc123456. Архив содержит два файла: help.exe и HelloWorld.exe. Первый шифрует файлы и добавляет к ним расширение .domino, а HelloWorld показывает записку с требованием выкупа "HelloWorld!", в которой содержатся инструкции о выкупе и email для связи с вымогателями. 

Файлы шифруются на всех зарегистрированных в системе дисках, кроме диска A:\ и CD-Rom.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .c, .cas, .cdr, .cer, .cfm, .cfr, .class, .cpp, .cr2, .crt, .crw, .cs, .csr, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dba, .dbf, .dbfv, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dtd, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .fla, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .h, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .java, .jpe, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lua, .lvl, .m, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py,  .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rss, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sh, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .swift, .syncdb, .t12, .t13, .tax, .tor, .txt, .unity3d, .upk, .vb, .vcf, .vcxproj, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xcodeproj, .xf, .xhtml, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (всего 220 расширений, без дублей в верхнем регистре и повторов, с которыми в два раза больше). 

Дэвы Domino продублировали все целевые расширения в верхнем регистре и даже некоторые (.cer, .css, .js, .py) написали четырежды. Такой ход призван нанести максимальный урон жертве и не пропустить даже те файлы, у которых расширения по какой-то причине написаны в верхнем регистре. 

Файлы, связанные с этим Ransomware:
KMSpico_setup.exe
31688EFBC3B9C99914A5BB7FB58AEC9E.exe
Help.zip
help.exe
HelloWorld.exe - это отдельный исполняемый файл, запускаемый после шифрования с запиской внутри;
README_TO_RECURE_YOUR_FILES.txt

Расположения:
%Temp%/KMSpico_setup.exe
%Temp%/31688EFBC3B9C99914A5BB7FB58AEC9E.exe
%Temp%/Help.zip
%Temp%/help.exe
%Temp%/HelloWorld.exe
README_TO_RECURE_YOUR_FILES.txt
%Temp%/ = C:\Users\User_Name\AppData\Local\Temp\

Примечательно, что в строчках кода есть текст на арабском языке.


Сетевые подключения и связи:
Email: 61f1e8055af3f6a672959e6b0493a2@gmail.com
BTC: 1AkHpPZ18f3QAygdMV2W4R4QjkzYxDkNEA

Результаты анализов:
VirusTotal анализ >>
См. образцы на сайте Nyxbone >>

Степень распространённости: низкая.
Подробные сведения собираются.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 25 января 2017:
Файл: bootcfg.exe
Фальш-имя: Microsoft® Windows® Operating System
Записка: README_TO_RECURE_YOUR_FILES.txt
Email: cstddetnkvcmknl@gmail.com
Сетевые подключения: 74.125.133.108:587
Результаты анализов: VT

*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! 
Для зашифрованных файлов есть декриптер. 
1) Ключ дешифрования можно получить с помощью HiddenTear Bruteforcer и зашифрованного PNG-файла.
2) Этим ключом дешифрования файлы могут быть дешифрованы с помощью HiddenTear Decrypter.
Если компьютер перезагружался после шифрования, то шансов на успешное получение ключа меньше. 
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Domino)
 Write-up, Topic of Support
 * 
 Thanks: 
 Daniel Gallagher, Lawrence Abrams
 Michael Gillespie, Mosh
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 23 августа 2016 г.

Alma Locker

Alma Locker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. На уплату выкупа даётся 5 суток. 

К зашифрованным файлам добавляется сгенерированное для ПК жертвы расширение по шаблону .[random_5_char], но в расширении может быть 4, 5 или 6 случайных букв и цифр. Например, .a5zfn

Также генерируется многозначный ID жертвы (от 8 до 20 знаков), который затем нужен для уплаты выкупа в биткоинах. 

Записки с требованием выкупа называются: 
Unlock_files_<random_extension>.txt
Unlock_files_<random_extension>.html

Например: Unlock_files_a5zfn.txt или Unlock_files_a5zfn.html

Содержание записки о выкупе:
Your flies are encrypted!
Your ID: cecfb512
You can unlock .a5zfn files using these instructions:
1) Download decrypter mirrors:
http://***2eiimafg74.torstorm.org/decrypter.exe
http://***2eiimafg74.onion.nu/decrypter.exe
http://***2eiimafg74.onion.cab/decrypter.exe
http://***2eiimafg74.onion.Iink/decrypter.exe
http://***2eiimafg74.onion.to/decrypter.exe
2) Read decrypting instructions on our website:
http://***2eiimafg74.torstorm.org/
http://***2eiimafg74.onion.nu/
http://***2eiimafg74.onion.cab/
http://***2eiimafg74.onion.Iink/
http://***2eiimafg74.onion.to/
3) If you can't access these websites from your browser, you have to download TOR browser:
https://www.torproiect.org/projects/torbrowser.html
4) Follow this link via Tor Browser:
http://***2ejjmafg74.onion

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш ID: cecfb512
Вы можете разблокировать .a5zfn файлы, используя следующие инструкции:
1) Скачать декриптер с зеркал:
http://***2eiimafg74.torstorm.org/decrypter.exe
http://***2eiimafg74.onion.nu/decrypter.exe
http://***2eiimafg74.onion.cab/decrypter.exe
http://***2eiimafg74.onion.Iink/decrypter.exe
http://***2eiimafg74.onion.to/decrypter.exe
2) Прочитать инструкции дешифровки на нашем сайте:
http://***2eiimafg74.torstorm.org/
http://***2eiimafg74.onion.nu/
http://***2eiimafg74.onion.cab/
http://***2eiimafg74.onion.Iink/
http://***2eiimafg74.onion.to/
3) Если не можете получить доступ к сайтам вашим браузером, нужно загрузить Tor-браузер:
https://www.torproiect.org/projects/torbrowser.html
4) Перейдите по ссылке в Tor-браузере:
http://***2ejjmafg74.onion

Распространяется с помощью email-спама и вредоносных вложений, вредоносных сайтов и набора эксплойтов RIG.

Криптовымогатель отправляет на C&C-сервер злоумышленников следующую информацию: 
- закрытый ключ шифрования, зашифрованный с помощью AES-128;
- расширение зашифрованного файла этого ключа; 
- имя и ID пользователя;
- LCID машины жертвы;
- название активного сетевого интерфейса;
- версию установленной операционной системы; 
- название установленного антивирусного ПО;
- отметка времени запуска шифровальщика.

По окончании жертве показывается записка о выкупе. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3ds, .3gp, .accdb, .ape, .asp, .aspx, .bc6, .bc7, .bmp, .cdr, .cer, .cfg, .cfgx, .cpp, .cr2, .crt, .crw, .csr, .csv, .dbf, .dbx, .dcr, .dfx, .dib, .djvu, .doc, .docm, .docx, .dwg, .dwt, .dxf, .dxg, .eps, .htm, .html, .ibank, .indd, .jfif, .jpe, .jpeg, .jpg, .kdc, .kwm, .max, .mdb, .mdf, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdf, .pef, .pem, .pfx, .php, .png, .pps, .ppt, .pptm, .pptx, .psd, .pst, .pub, .pwm, .qbb, .qbw, .raw, .rtf, .sln, .sql, .sqlite, .svg, .tif, .tiff, .txt, .vcf, .wallet, .wpd, .xls, .xlsm, .xlsx, .xml

При шифровании пропускаются файлы и папки с названиями:
$recycle.bin
system volume information
program files
programdata
program files (x86)
windows
internet explorer
microsoft
mozilla
chrome
appdata
local settings
recycler
msocache
Unlock_files_

Сайт вымогателей в сети Tor выглядит следующим образом:
 

Декриптер от вымогателей выглядит следующим образом:
Текст с экрана декриптера:
Your files are encrypted!
Price for key: 1 BTC
It means you are no longer able to access them without the private decryption key which is stored on our server. You have 120 hours to make a decision. Send the specified BTC amount within the specified time to the specified Bitcoin payment address. Otherwise, the key will be completely erased from our server and your files will not ever be recovered.

Перевод на русский:
Ваши файлы зашифрованы!
Цена за ключ: 1 BTC
Это значит, что вы не получите доступ к ним без секретного ключа дешифрования, который хранится на нашем сервере. У вас есть 120 часов на решение. Выслать указанную сумму BTC в указанное время на указаный Bitcoin-адрес. Иначе ключ будет стерт с нашего сервера и ваши файлы никогда не будут восстановлены.

Файлы, связанные с Ransomware:
Unlock_files_[random_extension].html
Unlock_files_[random_extension].txt

Записи реестра, связанные с Ransomware:
***

Источник
Подробный анализ

Степень распространённости: низкая.
Подробные сведения собираются.

воскресенье, 21 августа 2016 г.

DetoxCrypto

DetoxCrypto Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2 или 3 биткоина, чтобы вернуть файлы обратно. 

На данный момент известно два варианта: Pokemon и Calipso. 

Записки с требованием выкупа написаны на скринлоках (файлы bg.jpg и pokbg.jpg) и экранах блокировки. 

 Содержание записки о выкупе: 
Your documents, photos, databases and other important files have been encrypted and a unique unlock key is generated!!
You can only unlock your files by buying this key from us, there is no other way to save or unlock your files!!
How to unlock my files?
You need to send 2 bitcoins to our Bitcoin wallet address.
To get the wallet address contact us at: contact365@mail2tor.com
We recommend to buy Bitcoins here: www.localbitcoins.com
Register and buy Bitcoins with PayPal, Skrill or find someone who sells Bitcoins. 
Locally by entering your city and select cash in person as your paying option.
To save time you can give the seller our bitcoin address and he can send the bitcoins to us directly. 
After we receive the payment we will send you the unlock key to the email you contacted us from.
** Act fast because all your files will be deleted in 96h **
** If you delete this program all your files will be deleted forever **

 Перевод записки на русский язык: 
Ваши документы, фото, базы данных и другие важные файлы зашифрованы и уникальный ключ сгенерирован!!
Можно разлочить файлы, только купив ключ у нас, нет другого способа спасти или разлочить файлы!!
Как разлочить мои файлы?
Вам надо переслать 2 биткоина на наш Bitcoin-адрес.
Адрес кошелька получите, написав нам на contact365@mail2tor.com
Мы предлагаем купить биткоины тут: www.localbitcoins.com
Регистрируйтесь и купите биткоины в PayPal, Skrill или у того, кто продает.
Впишите свой город и выберите деньги, которыми оплачиваете покупку.
Для экономии времени можно дать продавцу наш Bitcoin-адрес и он пошлет биткоины нам.
После получения оплаты мы вышлем вам ключ разблокировки на email, присланный вами.
** Спешите, все ваши файлы удалятся через 96 ч. **
** Если удалите эту программу, то все ваши файлы пропадут **

Содержание записки о выкупе варианта Calipso может различаться. Или такой же текст или более короткий.


Email вымогателей могут меняться: 
contact365@mail2tor.com
motox2016@mail2tor.com
pokemongo@mail2tor.com

Отображение экран блокировки сопровождается музыкой и представляет собой следующее, см. скришот.

Содержание текста с экрана блокировки:
We are all Pokemons
YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED AND A UNIQUE UNLOCK KEY IS GENERATED!!
YOU CAN ONLY UNLOCK YOUR FILES BY BUYING THIS KEY FROM US, THERE IS NO OTHER WAY TO SAVE OR UNLOCK YOUR FILES!!
HOW TO UNLOCK MY FILES?
You need to send 2 Bitcoins to our Bitcoin Wallet address.
To get the Wallet address contact us at : contact365@mail2tor.com
WE RECOMMEND TO BUY BITCOINS HERE :  WWW.LOCALBITCOINS.COM
Register and buy Bitcoins with PayPal, Skrill or find someone who sells Bitcoins Locally by entering your City and select CASH in person as Your paying option. 
TO SAVE TIME YOU CAN GIVE THE SELLER OUR BITCOIN ADDRESS AND HE CAN SEND THE BITCOINS TO US DIRECTLY. 
AFTER WE RECEIVE THE PAYMENT WE WILL SEND YOU THE UNLOCK KEY TO THE EMAIL YOU CONTACTED US FROM.
** Act fast because ALL YOUR FILES WILL BE DELETED IN 96h **
** IF YOU DELETE THIS PROGRAM ALL YOUR FILES WILL BE DELETED FOREVER **

Перевод на русский: 
Мы все покемоны
Документы, фото, базы и другие важные файлы были зашифрованы и уникальный ключ сгенерирован!!
Можно разлочить файлы, только купив ключ у нас, нет другого способа спасти или разлочить файлы!!
Как разлочить мои файлы?
Вам надо переслать 2 биткоина на наш Bitcoin-адрес.
Адрес кошелька получите, написав нам на contact365@mail2tor.com
Мы предлагаем купить биткоины тут: www.localbitcoins.com
Регистрируйтесь и купите биткоины в PayPal, Skrill или у того, кто продает.
Впишите свой город и выберите деньги, которыми оплачиваете покупку.
Для экономии времени можно дать продавцу наш Bitcoin-адрес и он пошлет биткоины нам.
После получения оплаты мы вышлем вам ключ разблокировки на email, присланный вами.
** Спешите, все ваши файлы удалятся через 96 ч. **
** Если удалите эту программу, то все ваши файлы пропадут **

 Распространяется с помощью email-спама и вредоносных вложений, с помощью инфицированных файлов и попутных загрузок, фальшивых обновлений, перепакованных и заражённых инсталляторов, в том числе маскирующихся под известные антивирусы, в частности Malwarebytes (в сентябре 2016). 

Обе версии очень похожи, потому они могли быть созданы в каком-то новом крипто-конструкторе. Или, всё же, это разные версии из разных вредоносных кампаний. Разброс: от Канады до Кореи. 

Анализ версии Pokemon на VirusTotal >>> (файл из Канады)
Анализ версии Calipso на VirusTotal >>> (файл из Кореи)

Они инфицируют ПК через exe-файл, распаковывающийся на 4 других файла: 
- изображение, встающее обоями рабочего стола; 
- звуковой файл, играемый при показе требований о выкупе;
- файл MicrosoftHost.exe, запускающий процесс шифрования;
- exe-файл, блокирующий экран для показа требований о выкупе, проверяющий оплату и запускающий дешифровку файлов. 

Примечательно, что эти вымогатели:
- НЕ используют сайт Tor для обработки платежей;
- НЕ изменяют названия у зашифрованных файлов;
- НЕ добавляют к зашифрованным файлам новое расширение;
- оба ключа (открытый и секретный) генерируют в процессе шифрования;
- завершают на компьютере работу процессов MySQL и MSSQL;
- делают и отправляют снимок рабочего стола вымогателям;
- требуют выкуп на довольно большую сумму — 2 или 3 биткоина. 

DetoxCrypto Pokemon распространяется как исполняемый файл Pokemongo.exe. Распаковывается в папку C:\Users\User_Name\Downloads\Pokemon

Файлы, связанные с DetoxCrypto Pokemon Ransomware: 
pokbg.jpg - изображение для обоев;
Pokemon.exe - exe-файл для блокировки и дешифровки;
MicrosoftHost.exe - шифровальщик;
pok.wav - музыка для фона.

DetoxCrypto Calipso распространяется как исполняемый файл Invoice.exe. Распаковывается в папку C:\Users\User_Name\Downloads\Calipso 

 Файлы, связанные с DetoxCrypto Calipso Ransomware: 
bg.jpg - изображение для обоев;
Calipso.exe - exe-файл для блокировки и дешифровки;
MicrosoftHost.exe - шифровальщик;
sound.wav - музыка для фона. 

Список файловых расширений, подвергающихся шифрованию версии Pokemon: 
.3ds, .acbl, .backup, .bak, .cab, .cdr, .csv, .dat, .dbf, .doc, .docx, .eps, .ibd, .ibz, .iso, .mdb, .mdf, .myd, .pdf, .php, .ppt, .pptx, .psb, .psd, .pst, .rar, .s3db, .sql, .sqlite, .sqlitedb, .tar, .tar.bz2, .txt, .xls, .xlsx, .xlt, .xml, .zip (38 расширений). 

 Список файловых расширений, подвергающихся шифрованию версии Calipso
.3gp, .7z, .apk, .asm, .avi, .bmp, .c, .cal, .casb, .ccp, .cdr, .cer, .chm, .ckp, .cmx, .conf, .cpp, .cr2, .cs, .css, .csv, .dacpac, .dat, .db, .db3, .dbf, .dbx, .dcx, .djvu, .doc, .docm, .docx, .drw, .dwg, .dxf, .epub, .fb2, .flv, .gif, .gz, .ibooks, .iso, .java, .jpeg, .jpg, .js, .key, .md2, .mdb, .mdf, .mht, .mhtm, .mkv, .mobi, .mov, .mp3, .mp4, .mpeg, .mpg, .mrg, .pdb, .pdf, .php, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .psd, .psp, .py, .rar, .rb, .rbw, .rtf, .sav, .scr, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .tbl, .tif, .tiff, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xml, .xps, .zip (96 расширений). 

 Записи реестра, связанные с этим Ransomware: 
См. результаты анализов. 

Сетевые подключения и связи:
См. ниже результаты анализов. 

Обновление от 22 сентяря 2016:
Один из вариантов семейства DetoxCrypto стал распространяться под видом антивирусного решения Malwarebytes, причем в названии было сразу две ошибки, злоумышленники даже не удосужились их исправить, написав Malwerbyte и Malwerbyte.exe. Ответный пост компании Malwarebytes в Твиттере. 

Результаты анализов:
Гибридный анализ на версию Pokemon >>
VirusTotal анализ на версию Pokemon >>
VirusTotal анализ на версию Malwerbyte >>

 Степень распространённости: средняя и перспективно высокая
 Подробные сведения собираются.

суббота, 20 августа 2016 г.

Czech Anon

Czech Anon Ransomware 

(фейк-шифровальщик)


 Этот крипто-вымогатель шифрует данные пользователей якобы с помощью AES-256, но это не так, а затем требуют ввести код с карты Paysafe номиналом 200 крон, чтобы вернуть файлы обратно. Никакого шифрования на самом деле не производится, используется тактика запугивания. Ориентирован на чешских пользователей, т.к. текст написан на чешском языке. 

Запиской о выкупе выступает экран блокировки с текстом на чёрном фоне. 

 Содержание требований с экрана блокировки: 
Váš počítač a vaše soubory byly uzamknuty!
Co se stalo?
Veškeré vaše soubory byly zašifrovány šifrovacím algoritmem AES-256 společně s vaším osobním počítačem.
VAROVÁNÍ!!!
Pokud nesplníte všechny dané požadavky uvedené níže do 2 DNÍ, váš dešifrovací klíč se SMAŽE a vy své soubory a ÚČTY NIKDY NEUVIDÍTE.

Jak získat klíč?

- Stačí zakoupit kartu PaySafe Card v hodnotě 200Kč ,zadat její kód (číslo) do textového pole pod tímto textem a stisknout zelené tlačítko.
Vaše platba pak bude odeslána k ověření. Po ověření budou vaše soubory a váš počítač uvedeny do původního stavu.
- Kde koupím PaySafe Card?
PaySafe Card se dá zakoupit v jakékoliv trafice, či pumpě. Stačí se zeptat prodejce.

 Перевод на русский язык: 
Ваш компьютер и ваши файлы заблокированы!
Что случилось?
Все ваши файлы зашифрованы с алгоритмом шифрования AES-256 вместе с вашим компьютером.
ВНИМАНИЕ !!!
Если не выполните данные требования за 2 дня, ваш ключ дешифрования будет УДАЛЁН и вы свои файлы НИКОГДА НЕ УВИДИТЕ.

Как получить ключ?
- Просто купите Paysafe Card на 200 крон, введите код (номер) в текстовом поле ниже этого текста и нажмите зелёную кнопку.
Ваш платеж будет отправлен на проверку. После проверки файлы на вашем компьютере вернутся в исходное состояние. 
- Где купить Paysafe Card?
Paysafe Card можно купить в газетном киоске, на заправке. Или у дилера.

 Распространяется с помощью email-спама и вредоносных вложений. 

Т.к. файлы всё же не шифруются, то Czech Anon Ransomware я отношу к фейк-шифровальщикам

 Степень распространённости: низкая. 
 Подробные сведения собираются.

пятница, 19 августа 2016 г.

FSociety

FSociety Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, но затем даже не требует выкуп за дешифровку файлов. Название происходит от названия вымышленной хакерской группировки из американского телесериала "Mr. Robot", в котором пропагандируется борьба хактивистов с обществом потребления. Название не так просто, как может показаться, т.к. содержит в себе англоязычную фразу "F*ck Society". После инфицирования ПК на экран выводится логотип FSociety. К зашифрованным файлам добавляется расширение .locked

© Генеалогия: EDA2 >> FSociety 

 Записок с требованием выкупа нет. Кроме логотипа FSociety, на экране инфицированного ПК не отображается сообщение с требованием выкупа и не предоставляются никакие контакты для связи. Из чего можно сделать вывод о недоработанности шифровальщика-вымогателя. 
Этот логотип послужил названием вымогателя

 Распространяться может с помощью email-спама и вредоносных вложений, в том числе замаскированные под PDF-файлы. 

Перед шифрование перебирает и сканирует все буквы локальных дисков (от C до Z), но также ищет сетевые диски. 

 Список файловых расширений, подвергающихся шифрованию: 
Как минимум: .asp .aspx .csv .doc .docx .html .jpg .mdb .odt .php .png .ppt .pptx .psd .sln .sql .txt .xls .xlsx .xml

 Файлы, связанные с FSociety Ransomware: 
eda2.exe
filedata.exe

 Записи реестра, связанные с FSociety Ransomware: 
 см. ниже гибридный анализ.

Сетевые подключения:
www.archem.hol.es
error.hostinger.eu
хттп://i.imgur.com/PNZaSrX.jpg
185.28.20.87:80 (Литва)
31.170.160.61:80 (США)
и др., см. гибридный анализ.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

 Степень распространённости: низкая. 
 Подробные сведения собираются.

XRat, Team, Corporacao

XRat Ransomware

Team XRat Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью XOR или TEA, а затем требует написать на email вымогателей для получения инструкций по оплате выкупа. Суммы выкупа за 1 ПК 1 биткоин. В сентябре 2016 новые версии использовали уже AES-256 CBC и RSA-2048. Другие названия: XRat Team, XPan. Другая итерация: NMoreira

 © Генеалогия: Xorist >> XRat > NMoreira > NMoreia 2.0 > R > NM4

Название дано самими вымогателями, которые называют себя Team XRat или CorporacaoXRat (т.е.  по-анг. CorporationXRat). К зашифрованным файлам добавляется расширение .C0rp0r@c@0Xr@, в котором скрыто название группы на португальском. Ориентирован на португалоязычных (главным образом, бразильских) пользователей. 


21 августа найдены образцы с новым расширением .__xratteamLucked
3 сентября найдены образцы с новым расширением .___xratteamLucked
28 сентября найдены образцы с новым расширением .____xratteamLucked

 Записки с требованием выкупа, написанные на португальском, называются Como descriptografar seus arquivos.txt (Как расшифровать мои файлы) и размещаются на рабочем столе. 

 Содержание записки о выкупе: 
Atenção todos seus arquivos foram criptografados.
Utilizando criptografia RSA de 2048 bits.
tornando impossível a recuperação dos arquivos sem a chave correta.
Caso tenha interesse em obter está chave, e recuperar seus arquivos,
envie um email para corporacaoxrat@protonmail.com 
Contendo no assunto sua chave privada 
Chave Privada: 
8nxs1yncowvwl52v8bay25q846761n0jilkod5px3y2enj

 Перевод записки на русский язык: 
Внимание все ваши файлы были зашифрованы.
Использовано шифрование RSA 2048 бит.
Это делает невозможным правильно восстановить файлы без ключа.
Если вы действительно желаете восстановить ваши файлы,
отправьте на corporacaoxrat@protonmail.com
имеющийся здесь секретный ключ
Секретный ключ:
8nxs1yncowvwl52v8bay25q846761n0jilkod5px3y2enj

Следующий скринлок "o seu computador foi bloqueado" (Ваш компьютер заблокирован) встаёт обоями рабочего стола, демонстрируя картинку в стиле Anonymous с требованиями вымогателей. 

 Email вымогателей на скринлоке: corporacaoxrat@protonmail.com

 Распространяется с помощью email-спама и вредоносных вложений, с помощью инфицированных исполняемых файлов и попутных загрузок, RDP-атаки с использованием протокола удаленного рабочего стола, которые становятся возможными после предварительной компрометации вышеописанными методами.  

После запуска в системе вредонос сканирует диски, в том числе и внешние, в поисках целевых файлов. Наверняка шифруются файлы, находящиеся в директории пользователя:
C:\Users\User_Name\Documents
C:\Users\User_Name\Downloads
C:\Users\User_Name\Music
C:\Users\User_Name\Pictures
C:\Users\User_Name\Videos
C:\Users\User_Name\Desktop
C:\Users\User_Name\Contacts

Поиск файлов и их шифрование проводится несколькими потоками, в каждый поток обрабатывается один диск. Целевые диски: все, от A до Z. 

 Список файловых расширений, подвергающихся шифрованию: 
Шифрует всё, кроме файлов с расширениями .exe, .dll, .lnk, .bat, .ini, .msi, .scf.

Пропускаются файлы, находящиеся в директориях: 
$Recycle.Bin, AppData, Atheros, AVAST Software, AVG, Cobian Backup, Common Files, DUD Maker, ESET, FileZilla, firebird, intel, Internet Explorer, java, K-Lite Codec Pack, Microsoft  SQL Server Compact Edition, Microsoft Games, Microsoft SDKs, Microsoft Visual Studio, Microsoft.NET, MSBuild, Notepad++, PerfLogs, ProgramData, Realtek, Reference Assemblies, TeanUiewer, Windows Defenders, Windows Journals, Windows Mail, Windows Media Player, Windows NT, Windows Photo Uiewer, Windows Sidebar, winrar, 

Пропускаются файлы: 
NTUSER.DAT, pagefile.sys, xratteam.log

 Файлы, связанные с XRat Ransomware: 
  Como descriptografar seus arquivos.txt
  xratteam.log

Обновление 3 сентября:
Новое расширение: .___ xratteamLucked
Новая записка о выкупе:

Обновление от 28 сентября:
Новое расширение: .____ xratteamLucked
Новый скринлок, встающий обоями рабочего стола


Степень распространённости: высокая
Подробные сведения собираются.


Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Team XRat Ransomware - август 2016 
NMoreira Ransomware - ноябрь 2016
NMoreia 2.0 Ransomware - январь 2017
R Ransomware - март 2017
NM4 Ransomware - апрель 2017


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! 
Для зашифрованных файлов есть декриптор!
Скачать Xorist Decrypter >>
*

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as NM4)
 Video rewiew
 *
 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 Andrew Ivanov, GrujaRS
 Symantec

 


© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *