Если вы не видите здесь изображений, то используйте VPN.

четверг, 1 сентября 2016 г.

CryLocker

CryLocker Ransomware

Cry Ransomware, CSTO Ransomware


  Этот крипто-вымогатель шифрует данные пользователей с помощью якобы RSA-4096 (на самом деле AES-128), а затем требует выкуп на разную сумму, например, 0.27 ($150) или 1.136 ($625) биткоинов, чтобы вернуть файлы обратно. По прошествии 4 дней и 4 часов (=100 часов) при неуплате выкупа его сумма увеличится вдвое. 

© Генеалогия: Cry (CryLocker) > Sage

К зашифрованным файлам добавляется расширение .cry

Этимология названия: Название придумано самими вымогателями. Ранее мы использовали другое название: от названия поддельной организации, отображаемой на сайте оплаты выкупа: Central Security Treatment Organization Ransomware или кратко Central Security или CSTO, или просто Cry Ransomware


Верхняя часть сайта поддельной организации

Вся страница с сайта выкупа

Обои имеют в тексте название CryLocker

 Шифровальщик CryLocker создает папку с именем "old_shortcuts" на рабочем столе и перемещает все зашифрованные файлы с рабочего стола в эту папку. После успешного шифрования CryLocker создает записки о выкупе с расширениями .txt и .html, содержащие идентичные сообщения, и тоже помещает их на рабочем столе жертвы. Затем удаляет тома теневых копий файлов. 

CryLocker отличается от других вымогателей тем, что он сначала копирует файлы, шифрует их, а затем удаляет оригиналы. Большинство вымогателей просто пытаются зашифровать оригинальный файлы.

Записки с требованием выкупа называются:  !Recovery_[random_chars].txt и !Recovery_[random_chars].html . Также используется скринлок, встающий обоями рабочего стола (см. картинку выше). 
 
Два варианта записок

Содержание записки о выкупе:
Not your language? Use xxxxs://translate.google.com
WARNING!
YOUR DOCUMENTS, DATABASES, PROJECT FILES, AUDIO AND VIDEO CONTENT AND OTHER CRITICAL FILES
HAVE BEEN ENCRYPTED WITH A PERSISTENT MILITARY-GRADE CRYPTO ALGORITHM
How did this happen?
Specially for your PC was generated personal 4096 bit RSA key, both public and private.
All your files have been encrypted with the public key.
Decrypting of your files is only possible with the help of the private key and de-crypt program.
What do I do?
Don't wait for a miracle and the price doubled!
Start obtaining 8itcoin now and restore your data easy way!
If you HAVE REALLY VALUABLE DATA, you better MOT WASTE YOUR TIME,
because there is MO OTHER WAY to get your files,
EXCEPT MAKE A PAYMENT
Your personal ID:
*****
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1 - xxxx://neutx2ll7kh7h7zt.onion.to
2 - xxxx://neutx2H7kh7h7zt.onion.cab
3 - xxxx://neutx2H7kh7h7zt.onion.city
What should you do with these addresses?
1. Take a look at the first address (in this case it is
http://neutx2ll7kh7h7zt.onion.to);
2. Select it with the mouse cursor holding the left mouse button and moving the cursor to the right;
3. Release the left mouse button and press the right one;
4. Select "Copy" in the appeared menu;
5. Run your Internet browser (if you do not know what it is run the Internet Explorer);
6. Move the mouse cursor to the address bar of the browser (this is the place where the site address is written);
7. Click the right mouse button in the field where the site address is written;
8. Select the button "Insert" in the appeared menu;
9. Then you will see the address
xxxx://neutx2ll7kh7h7zt.onion.to
appeared there;
10. Press ENTER;
11. The site should be loaded; if it is not loaded repeat the same instructions with the second address and continue until the last address if falling.
If for some reason the site cannot be opened check the connection to the Internet.
Unfortunately these sites are short-term since the antivirus companies are interested in you do not have a chance to restore your files but continue to buy their products.
Unlike them we are ready to help you always.
If you need our help but the temporary sites are not available:
1. Run your Internet browser (if you do not know what it is run the Internet Explorer);
2. Enter or copy the address
xxxxs://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3. Wait for the site loading;
4. On the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5. Run Tor Browser;
6. Connect with the button "Connect" (if you use the English version);
7. A normal Internet browser window will be opened after the initialization;
8. type or copy the address xxxx://neutx2ll7kh7h7zt.onion in this browser address bar;
9. Press ENTER;
10. The site should be loaded; if for some reason the site is not loading wait for a moment and try again
!!! IMPORTANT !!!
Be sure to copy your personal ID and the instruction link to your notepad not to lose them.

Перевод записки на русский язык:
Не ваш язык? Воспользуйтесь xxxxs://translate.google.com.
ПРЕДУПРЕЖДЕНИЕ!
ВАШИ ДОКУМЕНТЫ, БАЗЫ ДАННЫХ, ПРОЕКТЫ, АУДИО И ВИДЕО СОДЕРЖИМОЕ, И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ
ЗАШИФРОВАНЫ С АЛГОРИТМОМ ВОЕННОГО КЛАССА
Как это произошло?
Специально для вашего ПК был создан персональный 4096-разрядный ключ RSA, как открытый, так и закрытый.
Все ваши файлы были зашифрованы с помощью открытого ключа.
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы де-шифрования.
Что мне делать?
Не ждать чуда и удвоения цены!
Начните получать биткоины сейчас и легко восстановите свои данные!
Если у вас ДЕЙСТВИТЕЛЬНО ЦЕННЫ ДАННЫЕ, вам лучше НЕ ТЕРЯТЬ ВАШЕ ВРЕМЯ,
потому что есть ТОЛЬКО ОДИН ПУТЬ, чтобы получить ваши файлы,
ЭТО СДЕЛАТЬ ОПЛАТУ
Ваш персональный идентификатор:
*****
Для получения подробных инструкций посетите вашу личную домашнюю страницу, есть несколько разных адресов, указывающих на вашу страницу ниже:
1 - xxxx://neutx2ll7kh7h7zt.onion.to
2 - xxxx://neutx2H7kh7h7zt.onion.cab
3 - xxxx://neutx2H7kh7h7zt.onion.city
Что вы должны делать с этими адресами?
1. Взгляните на первый адрес (в этом случае xxxx://neutx2ll7kh7h7zt.onion.to);
2. Выберите его с помощью курсора мыши, удерживая левую кнопку мыши и перемещая курсор вправо;
3. Отпустите левую кнопку мыши и нажмите правую;
4. Выберите "Копировать" в появившемся меню;
5. Запустите свой интернет-браузер (если вы не знаете, какой, запустите Internet Explorer);
6. Переместите курсор мыши на адресную строку браузера (это место, где написан адрес сайта);
7. Щелкните правой кнопкой мыши в поле, где написано адрес сайта;
8. В появившемся меню выберите кнопку «Вставить»;
9. Затем вы увидите адрес xxxx://neutx2ll7kh7h7zt.onion.to появится там;
10. Нажмите ENTER;
11. Сайт должен быть загружен; если он не загружен, повторите те же инструкции со вторым адресом и продолжайте до последнего адреса, если он вылетает.
Если по какой-то причине сайт не может быть открыт, проверьте подключение к Интернету.
К сожалению, эти сайты краткосрочные, как антивирусные компании заинтересованы в том, чтобы у вас не было возможности восстановить ваши файлы, но продолжать покупать их продукты.
В отличие от них мы готовы вам помочь всегда.
Если вам нужна наша помощь, но временные сайты недоступны:
1. Запустите свой интернет-браузер (если вы не знаете, какой, запустите Internet Explorer);
2. Введите или скопируйте адрес
xxxxs://www.torproject.org/download/download-easy.html.en в адресную строку вашего браузера и нажмите ENTER;
3. Дождитесь загрузки сайта;
4. На сайте вам будет предложено загрузить Tor Browser; загрузите и запустите его, следуйте инструкциям по установке, дождитесь завершения установки;
5. Запустите Tor Browser;
6. Подключитесь кнопкой "Подключиться" (если вы используете английскую версию);
7. После инициализации откроется обычное окно интернет-браузера;
8. введите или скопируйте адрес xxxx://neutx2ll7kh7h7zt.onion в эту адресную строку браузера;
9. Нажмите ENTER;
10. Сайт должен быть загружен; если по какой-то причине сайт не загружается, подождите немного и повторите попытку
!!! ВАЖНО !!!
Обязательно скопируйте свой личный идентификатор и ссылку в свой блокнот, чтобы не потерять их.




Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, кликбейта и веб-страниц с эксплойтами, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Кратко: 
CryLocker имеет некоторые интересные характеристики, которые редко встречаются у других вымогателей, например: 
- передаёт информацию о жертве на C&C-сервер с использованием UDP (ранее так было только у Cerber); 
- использует общественные места (Imgur.com и Pastee.org) для размещения информации о каждой жертве; 
- опрашивает Google Maps API для определения местонахождение жертвы по ближайшим SSID Wi-Fi сетей.

Подробно: 
Когда ПК жертвы заражен, CryLocker собирает разную информацию, например, версию Windows, разрядность, пакет обновления, имя пользователя, имя ПК и тип его процессора. Эта информация отправляется через UDP на 4096 различных IP-адресов, один из которых это C&C-сервер вымогателей. Использование UDP-пакетов, вероятно, делается для запутывания расположение командного сервера, чтобы власти не могли его захватить.

CryLocker будет загружать ту же информацию, а также список зашифрованных файлов на Imgur.com. Это делается путём сбора всей инфы в поддельный PNG-файл и загрузки его в назначенный альбом в Imgur. После успешной загрузки Imgur даст файлу уникальным имя. Оно будет транслироваться через UDP на 4096 IP-адресов, уведомляя C&C-сервер, что инфицирована новая жертва.

С помощью Google Maps API можно узнать местонахождение устройства, опросив по SSID ближайщие Wi-Fi сети. Вымогатель CryLocker использует функцию WlanGetNetworkBssList, чтобы получить список ближайщих беспроводных сетей и их SSID-ов. Без уверенности о использовании жертвой этих точек с помощью Google Maps создаётся точный снимок её местонахождения. Затем вымогатели могут использовать эти данные, чтобы напугать жертву "своим могуществом" и заставить заплатить выкуп.

Инфецировав ПК CryLocker делает резервную копию ярлыков с рабочего стола и сохраняет их там же в папку "old_shortcuts". Цель этой операции пока неясна. 

Список файловых расширений, подвергающихся шифрованию:
 .#vc, .$ac, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .aaf, .ab4, .ac2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes, .aet, .afm, .ai, .aif, .amj, .arc, .as, .as3, .asc, .asf, .asm, .asp, .asx, .ati, .avi, .back, .bak, .bat, .bay, .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bmp, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .cat, .cb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .cfp, .cgm, .cgn, .ch, .chg, .cht, .clas, .clk, .cmd, .cmx, .cnt, .cntk, .coa, .cpp, .cpt, .cpw, .cpx, .crt, .cs, .csl, .csr, .css, .csv, .cur, .cus, .d07, .dac,.dat, .db, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif, .dip, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsb, .dsf, .dtau, .dtd, .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs, .efsl, .efx, .emd, .eml, .emp, .ens, .ent, .epa, .epb, .eps, .eqb, .ert, .esk, .ess, .esv, .etq, .ets, .exp, .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .gem, .gfi, .gif, .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12, .hbk, .hif, .hpp, .hsr, .html, .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff, .iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int?, .intu, .inv, .inx, .ipe, .ipg, .itf, .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .key, .kmo, .kmy, .lay, .lay6, .lcd, .ldc, .ldf, .ldr, .let, .lgb, .lhr, .lid, .lin, .lld, .lmr, .log, .lua, .lz, .m, .m10, .m11, .m12, .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac, .max, .mbsb, .md, .mda, .mdb, .mdf, .mef, .mem, .met, .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .mlc, .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .nap, .nd, .nef, .nl2, .nni, .npc, .nv, .nv2, .oab, .obi, .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc, .ofx, .old, .omf, .op, .orf, .ost, .otg, .otp, .ots, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat, .pcd, .pcif, .pct, .pcx, .pd6, .pdb, .pdd, .pdf, .pem, .per, .pfb, .pfd, .pfx, .pg, .php, .pic, .pl, .plb, .pls, .plt, .pma, .pmd, .png, .pns, .por, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb, .ptdb, .ptk, .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo, .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw, .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rss, .rtf, .rtp, .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .say, .sba, .sbc, .sbd, .sbf, .scd, .sch, .sct, .sdf, .sdy, .seam, .ses, .set, .shw, .sic, .skg, .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .tax, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .text, .tfx, .tga, .tgz, .tif, .tiff, .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv, .zdb, .zip, .zipx, .zix, .zka (667 расширений). 

CryLocker удаляет тома теневых копии с помощью команды: 
vssadmin delete shadows /all /quiet

Для закрепления в системе создаёт задание со случайным именем, которое будет запускаться при входе пользователя в Windows. 

Затем на рабочем столе создаются записки о выкупе с названиями, которые содержат ID номер и инструкции о том, как получить доступ к TOR-сайту оплаты. 


Там же указаны ссылки на сайт оплаты, где требуется ввод персонального кода для входа в пользовательский кабинет. Кроме того: сумма выкупа, которую жертва должна заплатить, Bitcoin-адрес для платежа, есть страница поддержки, которую можно использовать для общения с вымогателями. Можно перетащить в окно и бесплатно дешифровать один файл, чтобы проверить возможность дешифровки файлов. Результатов дешифровки лучше подождать. При неудачном исходе этой операции пострадавшей стороне следует задуматься о бесполезности выкупа. 

Файлы, связанные с CryLocker Ransomware:
<random_chars>.exe
<random_chars>.tmp
<random_chars>.html
!Recovery_<random_chars>.html
!Recovery_<random_chars>.txt
old_shortcuts\
<random_chars>

Расположения:
%UserProfile%\AppData\Local\Temp\<random_chars>.exe
%UserProfile%\AppData\Local\Temp\<random_chars>.tmp
%UserProfile%\AppData\Local\Temp\<random_chars>.html
%UserProfile%\Desktop\!Recovery_<random_chars>.html
%UserProfile%\Desktop\!Recovery_<random_chars>.txt
%UserProfile%\Desktop\old_shortcuts\
C:\Windows\System32\Tasks\<random_chars>

Записи реестра, связанные с CryLocker Ransomware:
HKCU\Software\<same_name_as_executable>

Сетевые соединения CryLocker Ransomware:
xxxx://imgur.com
xxxxs://pastee.org/
xxxxs://maps.googleapis.com
UDP Traffic to ip addresses in the 37.x.x.x range
xxxx://neutx2ll7kh7h7zt.onion
xxxx://neutx2ll7kh7h7zt.onion.to
xxxx://neutx2H7kh7h7zt.onion.cab
xxxx://neutx2H7kh7h7zt.onion.city

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryLocker )
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 31 августа 2016 г.

NullByte, Necrobot

NullByte Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение _nullbyte (без точки). Например, файл test.jpg станет файлом test.jpg_nullbyte.

Название вымогателя в данной статье происходит от слова, добавляемого к зашифрованным файлам. Распространяемый через рипаки вредонос имеет название Necrobot.Rebuilt

© Генеалогия: DetoxCrypto > Serpico > NullByte

Под угрозой распространения вымогателей на основе DetoxCrypto и Serpico находятся пользователи из следующих стран: Италия, Испания, Бельгия, Бразилия и пр.

Записками с требованием выкупа выступают скринлок, встающий обоями рабочего стола, и блокировщик экрана. Далее использую лишь текст с изображения. Текст на блокировщике экране вроде бы тот же. 
Скринлок, встающий обоями рабочего стола
Блокировщик экрана, требующий выкуп

Содержание текста о выкупе со скринлока:
All of your personal files have been encrypted.
The only way you can get your information back is to purchase your decryption key.
The current price is set for 0.1 BTC (USD$57.6) and will be released to you upon successful completion of your transfer to us
Our wallet address is: 1HpVz6uSgVjQxzJCeGgwYTbNAaD9tByR4u
and if you are using a BitCoin phone app, you can scan this QR code to transfer us funds.
The more popular BitCoin phone apps include Circle, Coinbase and Airbitz.
To find our more information on BitCoins, and what they are, please do a youtube search.
To put in a decryption key request, please use the application called Decrypt Info on your desktop, it is the same application that opened upon completion of filesystem encryption.
We apologize for the invonvinience and will release your decryption key as soon as you transfer funds to our BitCoin Wallet.

Перевод текста на русский язык (без исправления огрех в оригинале):
Все ваши личные файлы были зашифрованы.
Только одним путём вы можете получить информацию обратно - купить ключ дешифрования.
Текущая цена 0,1 BTC (USD $ 57,6) выставлена вам после успешного завершения вашей передачи к нам
Наш адрес кошелька: 1HpVz6uSgVjQxzJCeGgwYTbNAaD9tByR4u
и если у вас есть Bitcoin phone app, то сосканьте этот QR-код для передачи нам средств.
Популярные Bitcoin phone app включают в себя Circle, Coinbase и Airbitz.
Для поиска подробной информации о биткоинах, пожалуйста, поищите на YouTube.
Для запроса ключа дешифрования, пожалуйста, используйте Decrypt Info на рабочем столе, это одно и то же приложение, которое открыто по окончании шифрования файлов.
Мы приносим извинения за неудобства и пришлем ключ дешифрования, как только придут деньги на наш Bitcoin-кошелек.

Распространяется вымогатель из проекта Github через перепакованное ПО Necrobot (программа для накрутки в PokemonGo), называя себя "Necrobot.Rebuilt". Эта программа запрашивает данные из учетной записи, чтобы делать накрутки, но на самом деле собирает учетные данные и загружает их на FTP-сервер.

Злоумышленники видимо считают, что из Github приложение NecroBot люди будут скачивать чаще, думая, что это законное использование. 


Когда кто-то загрузит и запустит приложение, то оно откроет стандартный интерфейс NecroBot и попросит жертву выполнить вход. Если вводится какая-либо информация (реальная или фиктивная) и кнопка Login нажимается, то программа попытается войти в систему на серверах NecroBot. При этом на заднем плане шифровальщик уже начинает шифровать файлы жертвы.

Когда шифрование будет закончено, вымогателем будет выведен экран блокировки, который потребует от пользователя заплатить 0.1 BTC за дешифровку файлов.

Во время работы криптовымогатель завершает процессы chrome, firefox, iexplore, opera, cmd, taskmgr, чтобы усложнить удаление компонентов криптовымогателя или затруднить жертве поиск помощи в Интернете.


Крипто-вымогатель сохраняет скриншот текущего пользовательского рабочего стола Windows и загружает его на свой командно-контрольный сервер. Переданный скриншот обычно используется злоумышленниками и вымогателями для оценки навара, кражи информации или шантажа.

NullByte будет шифровать любые файлы, расположенные в следующих пользовательских папках:
%USERPROFILE%\Documents
%USERPROFILE%\Downloads
%USERPROFILE%\Favorites
%USERPROFILE%\Pictures
%USERPROFILE%\Music
%USERPROFILE%\Videos
%USERPROFILE%\Contacts
%USERPROFILE%\Desktop

Файлы, связанные с NullByte Ransomware:
%UserProfile%\Desktop\DecryptInfo.exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svhost32.exe
%UserProfile%\Documents\bg.jpg
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DecryptInfo.exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\enhost32.exe

Сетевой трафик NullByte Ransomware:
хттпs://tools.feron.it/php/ip.php
фтп://ftp.taylorchensportfolio.netai.net/DECRYPTINFO-LAUNCHED
фтп://ftp.taylorchensportfolio.netai.net/DECRYPT-REQUEST

Степень распространённости: низкая.
Подробные сведения собираются.


Внимание! 
Для зашифрованных файлов есть декриптер.

В Nullbyte Decrypter требуется указывать полный путь к профилю пользователя, который был заражен, поэтому перед дешировкой нужно убедиться в правильности пути. Если дешифруются файлы с другого компьютера (с диска из другого ПК), нужно будет предоставить точный путь к профилю через Settings -> Set Profile Path (например, "C:\Users\User_Name").

© Amigo-A (Andrew Ivanov): All blog articles.

CryptFuck

CryptFuck Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы обратно. Название дано вымогателем. К зашифрованным файлам добавляется расширение .URfucked

© Генеалогия: EDA2 >> CryptFuck 

Записка с требованием выкупа называется README_CRYPTFUCK.txt

Содержание записки о выкупе:
You have been attacked by the CryptFuck RansomWare v Misc.FormattedVersion()
Your UUID is 
frmMain.uuid
Your UKey is
frmMain.ukey
If you lose your identifier, any chance of getting back your data is flushed in the toilet!!
Keep in mind that you have 72 hours to perform the payment, after that, your encrypted password would be deleted permanently!!
If your browser does not open any web page, visit this page to learn how to get back your files:
frmMain.primeDomain
Bye
Mr.r0b0t

Перевод записки на русский язык:
Ты был атакован CryptFuck RansomWare v Misc.FormattedVersion()
Твой UUID -
frmMain.uuid
Твой UKey -
frmMain.ukey
Если ты посеешь свой ID, любой шанс вернуть данные сольется в туалет!!
Имей ввиду, что у тебя 72 часа на оплату, после чего твой зашифрованный пароль будет удален навсегда!!
Если твой браузер не открывает любой из веб-сайтов, посети этот сайт и узнай, как вернуть свои файлы:
frmMain.primeDomain
Пока
Mr.r0b0t

Видимо, это всего лишь тестовый вариант. В коде имеются комментарии на итальянском языке. 

Список файловых расширений, подвергающихся шифрованию:
***
Файлы, связанные с Ransomware:
***
Записи реестра, связанные с Ransomware:
***

Степень распространённости: низкая.
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 27 августа 2016 г.

KK, Estonian

KK (Estonian) Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью ???, а затем требует выкуп в 4 биткоина, чтобы вернуть файлы обратно. Название происходит от приставки KK_, на которую сами вымогатели направляют внимание.

  К зашифрованным файлам добавляется приставка KK_. Требования выкупа написаны на английском языке, но с погрешностями. Жертвы для обмена биткоинами направляются на сайты, находящиеся в доменной зоне EE, относящейся к Эстонии. Из чего можно сделать вывод, что вымогатели так или иначе имеют отношение к Эстонии. 

Записка с требованием выкупа называется: KK_ IN YOUR DOCUMENTS..txt

Содержание записки о выкупе:
Dear man, your computer has been locked by ransomware, your personal files are encrypted and you have unfortunately "lost" all your pictures,
files and documents on the computer. Your important files encryption produced on this computer: videos, photos, documents, etc.
Encryption was produced using unique public key RSA-1024 generated for this computer. To decrypt files you need to obtain the private key.
All encrypted files contain KK_
Your number: ***
To obtain the program for this computer, which will decrypt all files, you need to pay 4 bitcoins on our bitcoin address 1G2cSAZ9*** (today 1 bitcoin was 250 $). Only we and you know about this bitcoin address.
You can check bitcoin balanse here -  https://www.blockchain.info/address/1G2cSAZ9***
After payment send us your number on our mail nown@ruggedinbox.com and we will send you decryption tool (you need only run it and all files will be decrypted during 1...3 hours)
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your garantee that we have decryption tool. And send us your number with attached file.
We dont know who are you. All what we need - it's some money.
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter (for example if you use hotmail.com or outlook.com
it can block letter, SO DON'T USE HOTMAIL.COM AND OUTLOOK.COM. You need register your mail account in www.ruggedinbox.com (it will takes 1..2 minutes) and write us again)
You can use one of that bitcoin exchangers for transfering bitcoin. 
   decrypto.ee
   https://localbitcoins.com/country/EE
   https://www.clevercoin.com
   coinera.eu
   https://bitx.co
   https://www.kraken.com
You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country.
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.

Перевод записки на русский язык:
Дорогой человек, ваш компьютер был заблокирован вымогателеv, ваши личные файлы зашифрованы, и вы, увы, "потеряли" все ваши фото,
файлы и документы на компьютере. Ваши важные файлы шифрование сделано на этом компьютере: видео, фотографии, документы и т.д.
Шифрование было сделано с уникальным открытым ключом RSA-1024, сгенерированный для этого компьютера. Для дешифровки файлов вам надо получить закрытый ключ.
Все зашифрованные файлы имеют KK_
Ваш номер: ***
Для получения программы для этого компьютера, которая дешифрует все файлы, вам нужно заплатить 4 биткоина на наш Bitcoin-адрес 1G2cSAZ9*** (сегодня 1 Bitcoin был 250 $). Только мы и вы знаем об этом Bitcoin-адресе.
Вы можете проверить Bitcoin-баланс здесь - https://www.blockchain.info/address/1G2cSAZ9***
После оплаты пришлите нам свой номер на нашу почту nown@ruggedinbox.com и мы вышлем вам декриптер (вам нужно только запустить его и все файлы дешифруются за 1...3 часа)
До оплаты можете прислать нам 1 небольшой файл (100..500 килобайт), и мы его дешифруем - это ваша гарантия, что у нас есть декриптер. И пришлите нам свой номер с вложенным файлом.
Мы не знаем, кто ты. Все, что нам нужно - это немного денег.
Не паникуйте, если мы не ответим вам за 24 часа. Это значит, что мы не получили ваше письмо (например, если вы используете hotmail.com или outlook.com, это блокирует письмо, НЕ ИСПОЛЬЗУЙТЕ HOTMAIL.COM И OUTLOOK.COM. Вам надо зарегистрировать аккаунт почты в www.ruggedinbox.com (займёт 1..2 минуты) и написать нам снова)
Можете использовать один из Bitcoin-обменников для переноса Bitcoin.
   decrypto.ee
   https://localbitcoins.com/country/EE
   https://www.clevercoin.com
   coinera.eu
   https://bitx.co
   https://www.kraken.com
Вам не надо ставить программы Bitcoin - надо только использовать один из этих обменников или другой обменник, который можете найти в www.google.com для своей страны.
Пожалуйста, используйте английский язык в ваших письмах. Если вы не говорите по-английски, то используйте https://translate.google.com, для перевода вашего письма на английский язык.

Распространяется с помощью email-спама и вредоносных вложений.

Список файловых расширений, подвергающихся шифрованию:
***
Файлы, связанные с Ransomware:
***
Записи реестра, связанные с Ransomware:
***
Степень распространённости: низкая.
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 26 августа 2016 г.

Serpico

Serpico Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 50 евро, чтобы вернуть файлы обратно. Никаких расширений к зашифрованным файлам не добавляет. Требования выкупа написаны на хорватской латинице, потому вымогатель ориентирован на сербских, хорватских и боснийских пользователей, т.к. все они поймут написанное. Называет себя CryptoLocker.

© Генеалогия: DetoxCrypto > Serpico 

Запиской с требованием выкупа выступает экран блокировки и скринлок, встающий обоями рабочего стола (файл bg.jpg). 
Экран блокировки

Содержание текста с экрана:
SVI VAŠI FAJLOVI SU ZAKUUČANI!
Svi važni fajlovi na vašem kompjuteru su zaključani i nemoguće je razbiti enkripciju. NEMOGUĆE JE RAZBITI CryptoLocker.
Ako želite fajlove natrag javite se na mail:
motox2016@mail2tor.com
NAPOMENA:
Nemojte brisati ovaj program jer će biti potreban da bi vratili fajlove. Dobit ćete na mail upute i ključ koji ćete unijeti i svi fajlovi će biti vraćeni. Vrlo jednostavno, samo se javite na mail i dogovorimo se oko povratka fajlove.
Ako pokušate očistit ovaj program ili sami nešto popraviti moguće je da zauvijek oštetite i izgubite podatke zato je najbolje rješenje da se javite.
OTKUPNINA ZA SVE VAŠE FAJLOVE I TRAJNU ZAŠTITU OD SLIČNIH PROVALA JE SAMO 50€. JAVITE SE NA MAIL.

Перевод текста на русский язык (перевод автора блога):
Все ваши файлы заблокированы!
Все важные файлы на вашем компьютере блокированы и невозможно сломать шифрование. Невозможно сломать CryptoLocker.
Если хотите файлы назад, пишите на почту:
motox2016@mail2tor.com
Примечание:
Не удаляйте эту программу, она будет нужна для возврата файлов. Получите инструкции по почте и ключ, который вернет все файлы. Проще говоря, напишите нам на email и договоримся о возврате файлов.
Попытки удалить эту программу или что-то исправить, приведут к вреду и потере данных, потому лучшее решение - ответить нам.
Сумма выкупа всех ваших файлов и гарантия защиты от подобных вторжений составляет всего 50 €. Ответ на почту.

Примечательно, что почта вымогателей motox2016@mail2tor.com уже засветилась в DetoxCrypto Ransomware. Потому можно заключить, что Serpico запущен той же группой злоумышленников-вымогателей. 

Распространяется с помощью email-спама и вредоносных вложений (в том числе маскировка под PDF-файл), с помощью инфицированных файлов и попутных загрузок.

Список файловых расширений, подвергающихся шифрованию: 
 .3ds, .7z, .acbl, .all, .backup, .bak, .bmp, .bz2, .cab, .cdr, .cer, .cpr, .crt, .cs, .csv, .dat, .db, .dbf, .der, .doc, .docx, .dwg, .eps, .gif, .ibd, .ibz, .iso, .jpeg, .jpg, .mdb, .mdf, .myd, .pdf, .php, .png, .ppt, .pptx, .psb, .pst, .rar, .rns, .s3db, .sql, .sqlite, .sqlitedb, .tar,  .txt, .xls, .xlsx, .xlt, .xltx, .xml, .zip (53 расширения). 

Файлы, связанные с Serpico Ransomware:
C:\Users\User_name\Desktop\MotoxUnlocker.exe - копия файла Serpico.exe;
и группа в папке Serpico: 
C:\Users\User_name\Serpico\bg.jpg - изображение для обоев;
C:\Users\User_name\Serpico\key.pkm - хранит значение открытого ключа;
C:\Users\User_name\Serpico\Serpico.exe - основной исполняемый файл;
C:\Users\User_name\Serpico\sound.wav - музыка для фона;
C:\Users\User_name\Serpico\total.pkm - хранит идентификатор элемента управления.

Записи реестра, связанные с Ransomware:
***

Детект на VirusTotal >>

Степень распространённости: низкая.
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 24 августа 2016 г.

Fantom

Fantom Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует связаться по email, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .fantomНазвание происходит от этого расширения и поведения вымогателя в системе. 

© Генеалогия: EDA2 >> Fantom 


Образцы зашифрованных файлов и записка о выкупе

Записка с требованием выкупа называется DECRYPT_YOUR_FILES.HTML и размещается в каждой папке с зашифрованными файлами.

Содержание записки о выкупе:
Attention! All your files have been encrypted
Due encrypting was used algoritm RSA-4096 and AES-256, used for protection military secrets.
That means > RESTORE YOU DATA POSIBLE ONLY BUYING decryption passwords from us.
Getting a decryption of your files is - SIMPLY task.
That all what you need:
1. Sent Your ID_KEY on mailbox fantomd12@yandex.ru or fantom12@techemail.com
2. For test, decrypt 2 small files, to be sure that we can decrypt you files.
3. Pay our services.
4. GET software with passwords for decrypt you files.
5. Make measures to prevent this type situations again.
IMPORTANT (1)
Do not try restore files without our help, this is useless, and can destroy you data permanetly.
IMPORTANT (2)
We Cant hold you decryption passwords forever.
ALL DECRYPTION PASSWORDS, for what wasn't we receive reward, will destroy after week of moment of encryption.
Your ID_KEY

Перевод записки на русский язык (оригинальный стиль изложения):
Внимание! Все ваши файлы зашифрованы.
При шифровании использован алгоритм RSA-4096 и AES-256, используемый для защиты военных секретов.
Это значит > ВЕРНУТЬ ВАШИ ДАННЫЕ МОЖЕТ ТОЛЬКО ПОКУПКА пароля дешифрования у нас.
Получение расшифровки ваших файлов - простая задача.
Все, что вам нужно:
1. Выслать ваш ID_KEY на fantomd12@yandex.ru или fantom12@techemail.com
2. Для теста, дешифровать 2 маленьких файла для уверенности, что мы можем дешифровать вам файлы.
3. Оплатить наши услуги.
4. Получить софт с паролями для дешифрования вам файлов.
5. Сделать меры для предотвращения такого рода ситуаций снова.
ВАЖНО (1)
Не пытайтесь восстановить файлы без нашей помощи, это бесполезно, и может уничтожить вам данные.
ВАЖНО (2)
Мы не можем держать вам пароли дешифрования всегда.
ВСЕ пароли дешифрования, за то, что не мы получаем награду, уничтожит после недели момента шифрования.
Ваш ID_KEY

Лоуренс Адамс: "Я должен отметить, что этот вымогатель очень плохо владеет английским языком, т.к. грамматика и формулировки могут быть одними из худших, что я видел в записках о выкупе до сего дня".

Email вымогателей: 
fantomd12@yandex.ru
fantom12@techemail.com

Распространяется с помощью email-спама и вредоносных вложений, инфицированных файлов и попутных загрузок. 

Примечательно, что Fantom Ransomware имеет интересную особенность: отображает поддельный экран обновления Windows, создавая видимость установки нового критического обновления для ОС. Тем временем на заднем плане Fantom тайно выполняет шифрование файлов. 
В свойствах исполняемого файла вымогателя утверждается, что это "критическое обновление kb01" от Microsoft.

Вместе с исполняемым файлом Fantom Ransomware извлекается и запускается ещё одна программа — WindowsUpdate.exe, которая и отображает поддельный экран обновления Windows. 
Этот экран перекрывает все активные окна и не позволяет жертве переключиться на любые другие открытые приложения. Поддельный экран содержит процентный счетчик, который увеличивается по мере тайного шифрования файлов жертвы. Сделано так, чтобы всё выглядело, как будто действительно ставится обновление, чем оправдывается и усиленная работа жёсткого диска.

Фантом-экран можно закрыть с помощью комбинации клавиш Ctrl + F4. Это позволит завершить поддельный процесс и отобразит рабочий стол Windows, но крипто-вымогатель всё же продолжит шифрование файлов в фоновом режиме. 

Вымогатель генерирует случайный ключ AES-128, шифрует его с помощью RSA, а затем загружает на C&C-сервер вымогателей. В каждой папке, где имеются зашифрованные файлы, размещается записка о выкупе DECRYPT_YOUR_FILES.HTML

Когда шифрование будет закончено, запустятся два пакетных файла, которые проведут зачистку — удалят тома теневых копий файлов и исполняемый файл поддельного обновления. 
После этого пострадавшей стороне будет показана записка о выкупе DECRYPT_YOUR_FILES.HTML, которая включает ID_KEY жертвы и предлагает получить инструкции по оплате, написав на почту вымогателей: fantomd12@yandex.ru или fantom12@techemail.com

Далее крипто-вымогатель загружает со специального сайта изображение и сохраняет его со случайным именем в директории пользователя %USERPROFILE%\2d5s8g4ed.jpg. Затем ставит его на обои рабочего стола.
Веб-адрес, с которого загружается это изображение, может что-то подсказать о личности вымогателей:
хттп://content.screencast.com/users/Gurudrag/folders/Default/media/9289aabe-7b4a-4c7f-b3bb-bdf3407e7a2f/fantom1.jpg

Список файловых расширений, подвергающихся шифрованию:
 .001, .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .apk, .arc, .arch00, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .aspx, .asr, .asset, .avi, .avs, .bak, .bar, .bay, .bc6, .bc7, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .bkp, .blob, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsa, .bsp, .cag, .cam, .cap, .car, .cas, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cfr, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .css, .csv, .ctt, .cty, .cwf, .d3dbsp, .dal, .dap, .das, .dayzprofile, .dazip, .db0, .dbb, .dbf, .dbfv, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .desc, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dmp, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .epk, .eps, .eql, .erf, .err, .esm, .euc, .evo, .ex, .exif , .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flac, .flp, .flv, .for, .forge, .fos, .fpk, .fpp, .fsh, .gam, .gdb, .gho, .gif, .grf, .gthr, .gz, .gzig, .gzip, .h3m, .h4r, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .idx, .ifo, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .itm, .iwd, .iwi, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpw, .js, .json, .kdb, .kdc, .kf, .kmz, .kwd, .kwm, .layout, .lbf, .lbi, .lcd, .lcf, .ldb, .lgp, .litemod, .log, .lp2, .lrf, .ltm, .ltr, .ltx, .lvl, .m2, .m2v, .m3u, .m4a, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .mcgame, .mcmeta, .md, .md3, .mdb, .mdbackup, .mddata, .mdf, .mdl, .mdn, .mds, .mef, .menu, .mic, .mip, .mkv, .mlx, .mod, .mov, .moz, .mp3, .mp4, .mpeg, .mpg, .mpqge, .mrw, .mrwref, .msg, .msp, .mxp, .nav, .ncd, .ncf, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .ntl, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .odtb .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pkpass, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .psk, .pst, .ptx, .puz, .pwf, .pwi, .pwm, .pxp, .py, .qbb, .qdf, .qel, .qic, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .rb, .re4, .res, .rev, .rgn, .rgss3a, .rim, .rng, .rofl, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .sb, .sc2save, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .slt, .snp, .snx, .so, .spr, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .sum, .svg, .svi, .svr, .swd, .swf, .syncdb, .t12, .t13, .tar, .tax, .tax2015, .tax2016, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tor, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unity3d, .unr, .unx, .uop, .upk, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdf, .vdo, .ver, .vfs0, .vhd, .vmf, .vmt, .vob, .vpk, .vpp_pc, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmo, .wmv, .wmx, .wotreplay, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xf, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xml, .xpi, .xpt, .xvid, .xwd, .xxx, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo, .ztmp (582 расширения). 

Сетевое соединение Fantom Ransomware
хттп://powertoolsforyou.com/themes/prestashop/cache/stats.php
хттп://templatesupdates.dlinkddns.com/falssk/fksgieksi.php

Файлы, созданные Fantom Ransomware:
%AppData%\delback.bat
[Executable_Path]\WindowsUpdate.exe
[Executable_Path]\update.bat
%UserProfile%\2d5s8g4ed.jpg

Записи реестра, связанные с Fantom Ransomware:
HKCU\Control Panel\Desktop\ "Wallpaper"   "%UserProfile%\How to decrypt your files.jpg"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1

Обновление от 21 сентября 2016:
Обои созданные с помощью текста и случайных пикселов. 
См. пример: 
Эта версия не связывается с C2-сервером.
Сумма выкупа определяется по имени процесса. 
Email: restorefiles@protonmail.ch

Обновление от 15 ноября 2016:

Новое расширение: .locked4
Распространение: с помощью эксплойтов
Степень распространённости: средняя.
Подробные сведения собираются.

Обновление от 20 декабря 2016:
Записка: RESTORE-FILES!<id>.hta
Новое расширение: .locked4

Email: fixfiles@protonmail.ch
Результаты анализов: VT

Обновление от 27 декабря 2016:
Файл: sombrd.exe
Разработчик: Suhix (Сухих). 
Результаты анализов: VT

Обновление от 27 декабря 2016:

Ссылка на статью >>
Email: fixfiles@protonmail.ch
BM: BM-NAv5DtD4t9BpLoNCDYr7gSr7B5fS3TQE
Записка: RESTORE-FILES.[time_stamp].hta
Детали: Этот вариант шифровальщика шифрует файлы и переименовывает их с помощью base64 в файл с расширением, которое основано на времени начала работы вымогателя. При этом записка о выкупе будет называться RESTORE-FILES.03032017.hta
Регистрирует состояние вредоносного процесса путём извлечения изображения с сайта iplogger.ru. Если обнаружится пользователь из России, то вымогатель завершает процесс и удаляет инфекцию с компьютера. 
Результаты анализов: VT


© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *