Если вы не видите здесь изображений, то используйте VPN.

вторник, 27 сентября 2016 г.

Locky-Odin

Locky-Odin Ransomware

(шифровальщик-вымогатель) 


   Этот крипто-вымогатель является новой версией крипто-вымогателя Locky, отличающейся по ряду признаков. 

Locky
This Locky's logo was developed on this site


 © Генеалогия: Locky > Locky-Odin

К зашифрованным файлам добавляется расширение .odin.

Название зашифрованного файла меняется особым образом. Например, после шифрования файл test.jpg станет 5FBZ55IG-S575-7GEF-2C7B-5B22862C2225.odin

Название получил от добавляемого расширения с указанием на основного крипто-вымогателя. То есть основным является Locky, а с расширением .odin распространяется всего лишь его новая итерация. 

Распространённость Locky (к октябрю 2016)

Записки с требованием выкупа называются:
_HOWDO_text.html
_HOWDO_text.bmp
_[2_digit_number]_HOWDO_text.html

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION!!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
hxxx://en.wikipedia.org/wiki/RSA (cryptosystem)
hxxx://en.wikipedia.org/wiki/Advanced Encryption Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
hxxxs://jhomitevd2abj3fk.tor2web.org/D56F3331E80*****
hxxx://jhomitevd2abj3fk.onion.to/D56F3331E80*****
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: hxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialisation.
3. Type in the address bar: jhomitevd2abj3fk.onion/D56F3331E80*****
4. Follow the instructions on the site.
!!! Your personal identification ID: D56F3331E80***** !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ!!!!
Все ваши файлы зашифрованы шифрами RSA-2048 и AES-128.
Подробную информацию о RSA и AES можно найти здесь:
hxxx://en.wikipedia.org/wiki/RSA (cryptosystem)
hxxx://en.wikipedia.org/wiki/Advanced Encryption Standard
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы расшифровки, которая находится на нашем секретном сервере.
Чтобы получить свой секретный ключ, следуйте одной из ссылок:
hxxxs://jhomitevd2abj3fk.tor2web.org/D56F3331E80*****
hxxx://jhomitevd2abj3fk.onion.to/D56F3331E80*****
Если все эти адреса недоступны, сделайте следующие действия:
1. Загрузите и установите Tor Browser: 
hxxps://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: jhomitevd2abj3fk.onion/D56F3331E80*****
4. Следуйте инструкциям на сайте.
!!! Ваш персональный идентификационный ID: D56F3331E80 ***** !!!

  Распространяется с помощью email-спама и вредоносных вложений, упакованных в архив, внутри которых находятся wsf-файлы (ws или js). Если получатель дважды кликнет на один из этих файлов сценариев, то будет загружен зашифрованный инсталлятор DLL, затем дешифрован и запущен с помощью легитимной программы для Windows под названием Rundll32.exe.


Команда, которая выполняется для запуска DLL:
rundll32.exe %Temp%\[name_of_dll],qwerty

Примеры писем:
Dear [Receiver_name], 
Please find attached documents as requested.
---
Best Regards,
[Sender name]
Our sincere apology for the incorrect invoice we sent to you yesterday. 
Please check the new updated invoice #3195705 attached. 
We apologize for any inconvenience. 
---
Socorro Bishop
Executive Director Marketing PPS
Tel.: (324) 435-35-73

Список файловых расширений, подвергающихся шифрованию:
.7zip, .aac, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .aiff, .ait, .aoi, .apj, .apk, .arc, .arw, .asc, .asf, .asm, .asp, .aspx, .asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .craw, .crt, .crw, .csh, .csl, .csr, .css, .csv, .d3dbsp, .dac, .das, .dat, .db_journal, .dbf, .dbx, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .hbk, .hdd, .hpp, .html, .hwp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .log, .ltx, .lua, .m2ts, .mapimail, .max, .mbx, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mpeg, .mpg, .mrw, .ms11 (security copy), .msg, .myd, .myi, .ndd, .ndf, .nef, .nop, .nrw, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .pab, .pages, .paq, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .raf, .rar, .rat, .raw, .rdb, .rtf, .rvt, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sda, .sdf, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .srf, .srt, .srw, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .upk, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wks, .wma, .wmv, .wpd, .wps, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (372 расширения). 


Гибридный анализ >>
Детект на VirusTotal >>

Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются.

Read to links:
Write-up
 Thanks:
 Lawrence Abrams
 MyOnlineSecurity
 

© Amigo-A (Andrew Ivanov): All blog articles.

DXXD

DXXD Ransomware

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные на сервере, а затем требует связаться по почте с экспертом вымогателей, чтобы вернуть файлы. Название получил от добавляемого окончания. Есть сведения о том, что это разработка украинских вымогателей, как и CrySiS, Dharma, Apocalypse, ODCODCPhobos и другие. 

К зашифрованным файлам добавляется dxxd (без точки). Таким образом файл picture.jpg станет picture.jpgdxxd

Записки с требованием выкупа называются: ReadMe.TxT

Содержание записки о выкупе:
Dear owner, bad news!!!!
Your SERVER [hacked], and file's [ENCRYPTED]!
If you need back files and recommendation's,
to protect your file's and server, write to e-mail:
[1] shellexec@protonmail.com
[2] null_ptr@tutanota.de
If don't answer on e-mail? Write to [jabber]:
what's jabber?
GUIDE : xxxx://www.howtogeek.com/howto/38942/the-beginners-guide-to-
pidgin-the-universal-messaging-client/
Programm : xxxxs://pidgin.im/download/
Register account : xxxxs://www.xmpp.jp or xxxxs://rows.io/ or your custom.
Add me : [one_weaJc@rows.io]
And so, write me.
Sorry.

Перевод записки на русский язык:
Уважаемый владелец, плохая новость !!!!
Ваш СЕРВЕР [взломан], и файлы [ЗАШИФРОВАНЫ]!
Если вам нужно вернуть файлы и рекомендации,
для защиты ваших файлов и сервера, пишите на email:
[1] shellexec@protonmail.com
[2] null_ptr@tutanota.de
Если нет ответа на email? Пишите [jabber]:
Что такое jabber?
ГИД: xxxx://www.howtogeek.com/howto/38942/the-beginners-guide-to-pidgin-the-universal-messaging-client/
Программа: xxxxs://pidgin.im/download/
Регистрация аккаунта: xxxxs://www.xmpp.jp или xxxxs://rows.io/ или ваш.
Добавьте меня: [one_weaJc@rows.io]
И так, пишите мне.
Извините.

У некоторых пострадавших наблюдалось изменение экрана входа в Windows на следующий:

Содержание текста с экрана:
Microsoft Windows Security Center. Dear Administrator, YOUR server is attacked by hackers.
For more informations and recommendations, write to our experts by e-mail: shellexec@protonmail.com or null_ptr@tutanota.de
When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software. And write to our experts by e-mail: shellexec@protonmail.com or null_ptr@tutanota.de

Перевод текста на русский язык:
Центр безопасности Microsoft Windows. Ув. Администратор, ваш сервер атакован хакерами.
Для подробной информации и рекомендаций пишите нашим экспертам на почту: shellexec@protonmail.com или null_ptr@tutanota.de
При запуске Windows, Windows Defender работает, чтобы защитить ваш ПК проверкой на вредоносное или нежелательное ПО. Пишите нашим экспертам на почту: shellexec@protonmail.com или null_ptr@tutanota.de

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, с помощью хакерских атак путём взлома. 

➤ Шифрует файлы на всех дисках и сетевых ресурсах. 

Список файловых расширений, подвергающихся шифрованию:

.7z, .bat, .cmd, .css, .doc, .docx, .fpt, .html, .jar, .jpe, .jpeg, .jpg, .js, .log, .mp4, .mpeg, .php, .png, .pptx, .psd, .rar, .rtf, .tif, .txt, .wav, .xml, .xls, .xlsx, .zip (29 расширений).

Файлы, связанные с DXXD Ransomware:
ReadMe.TxT
<ransom>.exe

Результаты анализов:
Hybrid анализ >>

VirusTotal анализ >>
Symantec: Ransom. DXXD >>

Степень распространённости: средняя.
Подробные сведения собираются.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 октября 2016:
Версия: DXXD-2
1. Изменение экрана входа в Windows теперь у всех пострадавших. 
2. Записи реестра, связанные с этой версией DXXD Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption "Microsoft Windows Security Center. Dear Administrator, Your server hacked. For more informations and recommendations, write to our experts by e-mail: rep_stosd@protonmail.com or rep_stosd@tuta.io"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText "When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software."
Текст вымогателей: 
Microsoft Windows Security Center. Dear Administrator, Your server hacked. For more informations and recommendations, write to our experts by e-mail: rep_stosd@protonmail.com or rep_stosd@tuta.io"

When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software.
3. Новые email вымогателей:
rep_stosd@protonmail.com
rep_stosd@tuta.io





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! 
Для зашифрованных файлов есть дешифровщики
Скачать DXXDDecrypter >>
Скачать DXXD2 Decrypter >> (от 21 окт.)
Read to links:
ID Ransomware
Topic on BC + Write-up on BC (added on Oktober 10, 2016)
 Thanks:
 Michael Gillespie (‏Demonslay335)
 Lawrence Abrams on BleepingComputer
 Fabian Wosar on Emsisoft

© Amigo-A (Andrew Ivanov): All blog articles.

Princess Locker

Princess Locker Ransomware

Princess Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 3 биткоина (равны $ 1800), чтобы вернуть файлы. Если оплата не поступает в установленный срок, то сумма выкупа удваивается до 6 биткоинов. Название получил от использованного логотипа Princess на сайте уплаты выкупа. Оригинальное название: Rule donkey. Разработчик: Pelican Products. 

© Генеалогия: Princess Locker > Princess Locker-2



К зашифрованным файлам добавляется случайное расширение, например, .1igw или .1cbu1. Шаблон: .[4-5_random_char]. Число знаков может быть и больше, просто в примерах были 4 или 5 знаков. 

Активность этого криптовымогателя пришлась на сентябрь 2016 г. 

Записки с требованием выкупа называются:
!_HOW_TO_RESTORE_[4-5_random_char_extension].TXT
!_HOW_TO_RESTORE_[4-5_random_char_extension].html
!_HOW_TO_RESTORE_[4-5_random_char_extension].url

Содержание записки о выкупе:
Your files are encrypted!
Your ID: ***
You can unlock .1igw files using these instructions: 
1) Read decrypting instructions on our website: 
http://6s2a2qa6sdoz4sjt.torstorm.org/
http://6s2a2qa6sdoz4sjt.onion.nu/
http://6s2a2qa6sdoz4sjt.onion.cab/
http://6s2a2qa6sdoz4sjt.onion.link/
http://6s2a2qa6sdoz4sjt.onion.to/
2) If you can't access these websites from your browser, you have to download TOR browser: https://www.torproject.org/projects/torbrowser.html
3) Follow this link via Tor Browser: http://6s2a2qa6sdoz4sjt.onion

Перевод записки на русский язык:
Твои файлы зашифрованы!
Твой ID: ***
Ты можешь разблокировать .1igw файлы, используя эти инструкции:
1) Прочитай инструкции дешифрования на нашем сайте:
http://6s2a2qa6sdoz4sjt.torstorm.org/
http://6s2a2qa6sdoz4sjt.onion.nu/
http://6s2a2qa6sdoz4sjt.onion.cab/
http://6s2a2qa6sdoz4sjt.onion.link/
http://6s2a2qa6sdoz4sjt.onion.to/
2) Если не можешь получить доступ к этим сайтам с помощью браузера, то нужно загрузить Tor-браузер: https://www.torproject.org/projects/torbrowser.html
3) Перейди по этой ссылке в Tor-браузере: http://6s2a2qa6sdoz4sjt.onion


Сайт уплаты выкупа имеет флажки-ссылки на 12 языках, которые предлагается выбрать жертве для уплаты выкупа. Что очень похоже на сайт Cerber Ransomware. Сначала надо выбрать свой язык, затем ввести полученный ID в открывшейся странице. С несуществующим ID нужная страница не откроется. Один файл предлагают дешифровать бесплатно. 

Примечательно, что вымогатели в инструкциях по оплате используют редкий термин "fiat currency" (фиатные деньги, фиатная валюта), значение которого мало кто знает.  

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .gif, .pdf, .png, .ppt, .pptx, .xls, .xlsx и др.

Файлы, связанные с этим Ransomware:
!_HOW_TO_RESTORE_[extension].TXT
!_HOW_TO_RESTORE_[extension].html
!_HOW_TO_RESTORE_[extension].url
<random_name>.EXE
RxWis.exe

Записи реестра, связанные с этим Ransomware:
См. результаты анализов.

Сетевые подключения:
myexternalip.com
6s2a2qa6sdoz4sjt.onion

cxufwls2xrlqt6ah.onion.link
103.198.0.2


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ EXE >>
VirusTotal анализ DLL >>
Symantec: Ransom.PrincessLocker >>

Степень распространённости: низкая.
Подробные сведения собираются.


Обновление от 16 февраля 2017:


Пост в Твиттере >>
Записка: @_USE_TO_FIX_JJnY.txt
Адрес: oat3viyjqoyqh3ck.onion
Скриншот сайта 








Обновление от 23 августа 2017:
Записка: !_HOW_TO_RESTORE_*.TXT
<< Две страницы Tor-сайта вымогателей
Tor-URL: royall6qpvndxlsj.onion
Содержание текста с сайта: 
Your files are encrypted!
Log into secure area to proceed with decrypting your personal data.
Your personal ID can be found in the text file «!_HOW_TO_RESTORE_*.TXT» which is stored on your PC.


***


ВНИМАНИЕ!
Для зашифрованных файлов есть декриптер
Read to links: 
Write-up on BC
Topic on BC
ID Ransomware
Recent additions:
Write-up on Malwarebytes
Video review by shaheresade
Princess Locker decryptor
 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 hasherezade

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 26 сентября 2016 г.

HelpDCFile

HelpDCFile Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES и RSA, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название получил от названия записки о выкупе: help_dcfile. 

© Генеалогия: R980 > HelpDCFile

К зашифрованным файлам добавляется расширение .xxx
Шаблон зашифрованных файлов: [10_random_characters.xxx]

Активность этого криптовымогателя пришлась на сентябрь 2016 г.

Записки с требованием выкупа называются: help_dcfile.txt и help_dcfile.html. Они размещаются на рабочем столе и, возможно, в других заметных местах. 

Содержание записки о выкупе:
!!!!Attention!!!!
Your personal files are encrypted.
Your files have been safely encrypted on this PC: photos, videos, documents, etc. 
Encryption was produced using a unique public key AES and RSA generated for this computer.To decrypt files you need to obtain the private key which have been saved on our server. 
You only have 72 hours( 26/09/2016 12:41:47 + 72 hours ) to submit the payment!! If you dont pay in 72h , Your key will be destroyed.
How to get your files back:
To decrypt your files you have to pay 0.5 Bitcoins(BTC).
How to make payment?
1. Firstly,you have to buy bitcoins. You can buy bitcoins easily at the following site(you can skip this step if you already have bitcoins)
https://www.coinbase.com/
https://coincafe.com/
https://bitquick.co/
2. Send 0.5 bitcoins to the following bitcoin address. You dont have to send the exact amount above. You have to send at least this amount for our system.
BITCOIN ADDRESS: 1HfaCTfwsVXDitg9SgV8cR8ujYs7ZcKkto
3. Find your transaction ID(TXID) and enter TXID on the form.
4. Once you have paid to the above bitcoin address we will give you a link to decrypt key that will fix your files.
It will be sent to a public email account we have created for you.
(example) https://www.mailinator.com/inbox2.jsp?public_to=ULBPKVaSs10JVbOyZSrs 
Please wait up to 24 hours for your decrypt key to arrive.

Перевод записки на русский язык:
!!!!Внимание!!!!
Ваши личные файлы зашифрованы.
Ваши файлы безопасно зашифрованы на этом компьютере: фото, видео, документы и т.д.
Шифрование произведено с использованием уникального открытого ключа AES и RSA, созданного для этого ПК. Для расшифровки файлов надо получить секретный ключ, который сохранен на нашем сервере.
У вас есть только 72 часа (26/09/2016 12:41:47 + 72 часов) для оплаты!! Если вы не платите за 72 ч., ваш ключ будет уничтожен.
Как получить файлы обратно:
Для расшифровки файлов вы надо заплатить 0,5 биткоинов (BTC).
Как сделать платеж?
1. Сначала вы должны купить биткойны. Вы можете купить биткойны на следующих сайтах (можете пропустить этот шаг, если у вас уже есть биткойны)
https://www.coinbase.com/
https://coincafe.com/
https://bitquick.co/
2. Отправить 0,5 биткойна по Bitcoin-адресу. Вы не должны отправить точную сумму выше. Вы должны отправить по крайней мере эту сумму для нашей системы.
Bitcoin-адрес: 1HfaCTfwsVXDitg9SgV8cR8ujYs7ZcKkto
3. Найдите свой ID транзакции (TXID) и введите TXID в форму.
4. После того, как вы заплатили по указанному выше Bitcoin-адресу мы дадим вам ссылку на ключ дешифровки, который исправит ваши файлы.
Он будет направлен на адрес почты, который мы создали для вас.
(Пример) https://www.mailinator.com/inbox2.jsp?public_to=ULBPKVaSs10JVbOyZSrs
Пожалуйста, ждите до 24 часов для прихода вашего ключа дешифровки.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с HelpDCFile Ransomware:
C:\Program Files (x86)\wsW1u4.exe
help_dcfile.txt
help_dcfile.html
update.exe

Записи реестра, связанные с HelpDCFile Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
https://id-ransomware.malwarehunterteam.com/
https://www.pcrisk.com/removal-guides/10522-helpdcfile-ransomware
 Thanks: 
 Michael Gillespie
 Tomas Meskauskas
 

© Amigo-A (Andrew Ivanov): All blog articles.

Donald Trump

Donald Trump Ransomware

(фейк-шифровальщик)


   Этот крипто-вымогатель не шифрует данные пользователей с помощью AES, хотя функционал шифрования всё же имеется, а просто ищет и перемещает в папку "encrypt" файлы, имеющие определённые расширения, кодирует в base64 их имена, а затем добавляет к ним расширение .ENCRYPTED. Оригинальное название: CRPT-TRX. 

Название получил от использованной фотографии Дональда Трампа, известного кандидата в президенты США. Его имя вымогатели также вывели в название экрана блокировки. 

К зашифрованным файлам добавляется расширение .ENCRYPTED.

Текстовых записок с требованием выкупа нет. 

Распространяется с помощью email-спама и вредоносных вложений. 

В этой, находящейся в стадии разработки версии, можно просто нажать на кнопку "Unlock files", чтобы файлы были переименованы в свои исходные имена. Но функционал шифрования всё же есть, только пока не реализован. 

Ввиду того, что среди целевых файлов есть файлы для Minecraft, можно заключить, что целью вымогателей были пользователи именно этой игры. 

Список файловых расширений, подвергающихся шифрованию:
 .7z, alts.json, .assets, .avi, .bukkit.jar, .cfg, .css, .csv, .csv, .dat, .dat_mcr, .dll, .doc, .docx, .flv, .gif, .html, .icarus, .ico, .ini, .Ink, .itl, .java, .jpeg, .jpg, .js, .litemod, .log, .lvl, .m3u, .mca, .mdbackup, .menu, .Minecraft, .mp3, .mp4, .odt, .pak, .php, .png, .ppt, .pptx, .psd, .pub, .rar, .raw, .resource, .rtf, .sav, .sidn, .sk, .sln, .swf, .tax, .tex, .txt, .vb, .wma, .wmv, .wolfram, .xcf, .xml, .xxx, .yml, .zip (66 расширений, включая специальные файлы для Minecraft). 

Файлы, связанные с Donald TrumpRansomware:
CRPT-TRX.exe
<random_name>.exe

Записи реестра, связанные с Donald Trump Ransomware:
См. ниже гибридный анализ.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Maldun анализ >>
Malwares анализ >>


Т.к. файлы всё же не шифруются, то Donald Trump Ransomware я отношу к фейк-шифровальщикам

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Write-up on BC
*
*
*
 Thanks:
 Lawrence Abrams
 
 

© Amigo-A (Andrew Ivanov): All blog articles.

Nagini, Voldemort

Nagini  Ransomware 

Voldemort Ransomware


  Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует ввести номер кредитной карты, чтобы оплатить выкуп. 

Название получил от от Nagini — названия огромной ядовитой змеи, принадлежащей Волдеморту, который сам изображен на экране блокировки. 

К зашифрованным файлам добавляется расширение ???.

Записки с требованием выкупа нет. Если запустить установочный файл вымогателя, то открывается блокировщик экрана с кнопкам управления.

Содержание надписей на кнопках:
Done encrypting!
Enter your credit card:
Get key!
Enter your key to decrypt the files:
Decrypt Now!

Перевод записки на русский язык:
Зашифровано!
Введи свою кредитную карту:
Получи ключ!
Введи ключ для дешифровки файлов:
Дешифровать!

Вымогатель пока находится в стадии разработки и не финализирован. По некоторым признакам можно заключить, что финальная версия может распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
.bmp, .doc, .docx, .exe, .jpeg, .jpg, .pdf, .png, .ppt, .pptx, .xls, .xlsx

Файлы, связанные с этим Ransomware: 
c:\Temp\voldemort.horcrux
%UserProfile%\1.exe
%UserProfile%\Nagini.exe

Записи реестра, связанные с этим Ransomware:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run "Voldemort" = "[path_to]\Nagini.exe"

Гибиридный анализ на Payload Security >>
Детекты с него на VirusTotal >>


Степень распространённости: единичные случаи.
Подробные сведения собираются.

  Read to links:
 https://www.youtube.com/watch?v=dLLcc4oQDtI
 http://www.bleepingcomputer.com/news/security/the-nagini-ransomware-sics-voldemort-on-your-files/



  Thanks:
  CyberSecurity GrujaRS
 Michael Gillespie (Demonslay335)
 Lawrence Abrams (Grinler)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *