Если вы не видите здесь изображений, то используйте VPN.

среда, 5 октября 2016 г.

Hades Locker

Hades Locker Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Через неделю неуплаты выкупа сумма удваивается до 2 биткоинов. 

Название получил от Hades (англ. "адский") и Locker (англ. "локер, блокировщик"). 

© Генеалогия: GNL Locker > Zyklon Locker > WildFire Locker > Hades Locker 

К зашифрованным файлам добавляется расширение по шаблону .~HL[first_5_chars_of_password] 
Расширение состоит из ~HL (Hades Locker) и пяти знаков от пароля шифрования. 

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на пользователей, чьи государственные флаги есть под названием на следующем скриншоте (английский, голландский, немецкий, французский, испанский, итальянский) с сайта оплаты.

Записками с требованием выкупа выступают txt-файл, html-страница, скринлок, встающий обоями рабочего стола, и сайты оплаты:
README_RECOVER_FILES_[victim_id].txt
README_RECOVER_FILES_[victim_id].html
README_RECOVER_FILES_[victim_id].png
TXT-вариант записки о выкупе
HTML-вариант записки о выкупе

Содержание записки о выкупе:
!! IMPORTANT INFORMATION !!
All your documents, photos, databases and other important files have been encrypted!
In order to decrypt your files you will have to buy the decryption password belonging to your files
There are 2 options to solve this problem
1. Format your hard disk and loose all your files for ever!
2. Pay to buy your decryption key. With this decryption key you can decrypt your files and use them again like before.
To buy the decryption password you will have to visit our website. Pick a website below
http://pfmydcsjib.ru/***
http://jdybchotfn.ru/***
If these websites dont work you can visit our website on the tor network follow the steps below to visit our tor website.
1. Download and install the tor browser: https://www.torproject.org/projects/torbrowser.html.en
2. After installation run the tor browser and wait for initialization
3. Inside the tor browser (just like a normal browser) navigate to
n7457xrhg5kibr2c.onion
HWID (personal identification id): DAB2B998E89D4034
!! You have until to buy the decryption key or the price will double !!

Перевод записки на русский язык:
!! ВАЖНАЯ ИНФОРМАЦИЯ !!
Все ваши документы, фото, базы данных и другие важные файлы зашифрованы!
Для того, чтобы расшифровать файлы, вам придется купить пароль дешифрования к вашим файлам
Есть 2 варианта решения этой проблемы
1. Отформатировать жесткий диск и потерять все ваши файлы навсегда!
2. Купить ключ дешифрования. С этим ключом дешифрования вы сможете расшифровать файлы и пользоваться ими снова, как прежде.
Чтобы купить пароль дешифрования вам придется посетить наш веб-сайт. Выберите веб-сайт ниже
http://pfmydcsjib.ru/***
http://jdybchotfn.ru/***
Если эти сайты не работают, вы можете посетить наш веб-сайт в сети tor выполните следующие шаги для визита на наш сайт tor.
1. Загрузите и установите tor-браузер: https://www.torproject.org/projects/torbrowser.html.en
2. После установки запустите tor-браузер и ждите инициализации
3. В браузере (в tor и обычном браузере) перейдите на 
n7457xrhg5kibr2c.onion
HWID (ваш персональный ID): DAB2B998E89D4034
!! Вам нужно раньше купить ключ дешифрования или цена удвоится !!

При переходе на сайтоплаты (любой из представленных в записке), нужно ввести ID жертвы вымогателей. Для нашего случая это DAB2B998E89D4034, который и нужно ввести как ID, чтобы увидеть инструкции. 

Потом откроется страница с содержанием на английском или одним из пяти других языков (согласно IP жертвы). 
Начальная страница Hades Locker

Примечательно, что вымогатели подписались как Hades Enterprises. 
Окно "Test decrypt"

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Цели: компьютеры в Западной Европе и США. 

Как и во вредоносной кампании с WildFire Locker, поставщиками шифровальщика могут выступать ботнеты, например, Kelihos (Waledac). Нередки случаи установки вместе с шифровальщиком (или после его собственной деинсталляции) другого вредоносного ПО: Pony, Teamspy RAT, банковских троянов и других. 

Список файловых расширений, подвергающихся шифрованию:
 .3dm, .3ds, .3fr, .3pr, .3q2, .3qp, .7z, .7zip, .aac, .ab4, .accar, .accdb, .accde, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .asm, .arw, .asf, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxq, .edb, .emi, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .fxg, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .ldf, .led, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsm, .ppsx, .ppt, .pptm, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qif, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tig, .txt, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (380 расширений). 

В процессе шифрования пропускаются любые файлы, чей путь содержит следующие строки:
Windows
Program files
Program files (x86)
System volume information
$Recycle.bin

Тома теневых копий файлов удаляются с помощью команды:
WMIC.exe shadowcopy delete /nointeractive

Файлы, связанные с Hades Locker Ransomware:

README_RECOVER_FILES_[victim_id].txt
README_RECOVER_FILES_[victim_id].png
README_RECOVER_FILES_[victim_id].html
%UserProfile%\AppData\Local\Temp\RarSFX0\
%UserProfile%\AppData\Local\Temp\RarSFX0\Ronms.exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ronms.lnk
%UserProfile%\AppData\Roaming\wow6232node\
%UserProfile%\AppData\Roaming\wow6232node\Bamvenagxe.xml
%UserProfile%\AppData\Roaming\wow6232node\Ronms.exe
%UserProfile%\...\update.exe

Записи реестра, связанные с Hades Locker Ransomware:
HKCU\Software\Wow6232Node\hwid [victim_id]
HKCU\Software\Wow6232Node\status 1

Сетевые подключения:
xxxx://pfmydcsjib.ru
xxxx://jdybchotfn.ru
n7457xrhg5kibr2c.onion

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: высокая.
Подробные сведения собираются.

Read to links: 
ID Ransomware
Post on Twitter
Write-up on BC (added on October 6, 2016)
 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie 
 Lawrence Abrams 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 3 октября 2016 г.

HCrypto

HCrypto Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название получил от добавляемого расширения. 

К зашифрованным файлам добавляется расширение .hcrypto.

Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. 

© Генеалогия: HiddenTear >> HCrypto 

Записка с требованием выкупа называется ex3t.pdf

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, в том числе для Adobe-программ, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Ransomware:
Adobe.exe

Записи реестра, связанные с Ransomware:
***
Сетевые подключения:
***

Детект на VirusTotal >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 

 Thanks: 
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Nuke

Nuke Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует написать письмо вымогателям, чтобы вернуть файлы. 

К зашифрованным файлам добавляется расширение .0x5bm.

Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. Ориентирован на англоязычных пользователей.

Примечательно, что Nuke переименовывает файлы случайным образом и добавляет расширение ".0x5bm". Например, "picture.jpg" станет "efaf + aEa00acBEba.0x5bm". Исходное имя файла вписывается в конце кода зашифрованного файла. 

Записки с требованием выкупа называются:
!!_RECOVERY_instructions_!!.txt
!!_RECOVERY_instructions_!!.html


TXT-вариант записки о выкупе
HTML-вариант записки о выкупе
Скринлок, встающий обоями рабочего стола

Содержание записки о выкупе:
!! Your files and documents on this computer have been encrypted !!
** What has happened to my files? **
Your important files on your computer; photos, documents, and videos have been encrypted. Your files were encrypted using AES and RSA encryption.
** What does this mean? **
File encryption was produced using a unique 256-bit key generated specifically for this machine. Encryption is a way of securing data and requires a special key to decipher.
Unforunate for you, this special key was encrypted using an additional layer of encryption; RSA. Your files were encrypted using the public RSA key. To truly reverse the unfortunate state of your files, you need the private RSA key which is only known by us.
** What should I do next? **
For your information your private key is a paid product. If you really value your data we suggest you start acting fast because you only short amount of time to recover your files before they are gone forever.
There are no solutions to this problem, and no anti-virus software can reverse the process of file encryption because we have also erased recent versions of your files which means you cannot use file recovery software.
Modifying your files in any way can damage your files permenantly and we will no longer be able to help you. Follow our terms assigned to you below, and we will have your files recovered.
** Recovering your files **
- Send an email with the subject 'FILE RECOVERY' to opengates@india.com
- For a free test decrypt, send one small file which will decrypt free
- Wait for a response from us (up to 24-48 hours)
- We will send you further information regarding payment and full file decryption of your computer
- Receive file decryption software to decrypt every encrypted file on the hard drive

Красным выделены слова с ошибками. 

Перевод записки на русский язык:
!! Ваши файлы и документы на этом компьютере зашифрованы !!
** Что случилось с моими файлами? **
Ваши важные файлы на компьютере; фото, документы и видео были зашифрованы. Ваши файлы зашифрованы с помощью AES и RSA шифрования.
** Что это значит? **
Шифрование файлов произведено с использованием уникального 256-битного ключа, созданный специально для этой машины. Шифрование представляет собой способ защиты данных и требует специального ключа для расшифровки.
К сожалению для вас, этот специальный ключ был зашифрован с помощью дополнительного шифрования; RSA. Ваши файлы зашифрованы с использованием открытого ключа RSA. Чтобы изменить неудачное состояние ваших файлов, вам нужен закрытый ключ RSA, который известен только нам.
** Что я должен делать дальше? **
Для вашей информации ваш личный ключ является платным продуктом. Если вы правда цените ваши данные, мы предлагаем вам быстро начать действовать, потому что у вас мало времени, чтобы восстановить ваши файлы, прежде чем они пропадут.
Нет иного решения этой проблемы, а антивирус не может повернуть вспять процесс шифрования файлов, потому что мы также стерли последние версии файлов, потому вы не сможете использовать программы для восстановления файлов.
Изменение файлов в любом случае может привести к полному повреждению файлов, и мы больше не будем в состоянии помочь вам. Следуйте нашим условиям, написанным для Вас ниже, и мы обещаем, что ваши файлы будут восстановлены.
** Восстановление файлов **
- Отправить email-письмо с темой ''FILE RECOVERY" на opengates@india.com
- Для бесплатной тест-расшифровки отправьте один маленький файл, который будет расшифрован бесплатно
- Подождите ответа от нас (до 24-48 часов)
- Мы вышлем вам дополнительную информацию, по оплате и полной расшифровки файлов вашего компьютера
- Получение программы дешифрования для расшифровки каждого зашифрованного файла на жестком диске

Лингвистический анализ текста показал, что текст писал украинец. 

Email вымогателей opengates@india.com встречался и в других вымогательских кампаниях.
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Nuke Ransomware:
!!_RECOVERY_instructions_!!.txt
!!_RECOVERY_instructions_!!.html
Nuke.exe

Записи реестра, связанные с Nuke Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 13 октября 2016:
Новое расширение: .nuclear55
Новые результаты анализа >>>
Новые записка о выкупе и обои для рабочего стола


Read to links: 
ID Ransomware
Topic on BC + Write-up on BC
 Thanks: 
 Michael Gillespie
 S!Ri
 MalwareHunterTeam 
 Lawrence Abrams

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 2 октября 2016 г.

Dr. Fucker

Dr. Fucker Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 1,7 биткоина за 1 систему, 29 биткоинов за все ПК скомпрометированной сети, чтобы вернуть файлы. Оригинальное название: dr fucker. 

© Генеалогия: SamSam > Dr. Fucker

К зашифрованным файлам добавляется расширение .iloveworld.

Активность этого криптовымогателя пришлась на конец сентября 2016 г. 


Записки с требованием выкупа называются:
PLEASE_READ_FOR_DECRYPT_FILES_.html
PLEASE_READ_FOR_DECRYPT_FILES_<num>.html, где <num> - некий номер, данный вредоносом компьютеру жертвы, иными словами <victim_id>. 

Содержание записки о выкупе:
#What happened to your files?
All your files encrypted with RSA-2048 encryption, For more information search in Google “RSA Encryption.”
#How to recover files?
RSA is an asymmetric cryptographic algorithm; You need one key for encryption and one key for decryption.
So you need Private key to recover your files.
It’s not possible to recover your files without private key
#How to get private key?
You can get your private key in 3 easy step:
Step1: You must send us 1.7 BitCoin for each affected PC OR 29 BitCoins to receive ALL Private Keys for ALL affected PCs.
Step2: After you send us 1.7 BitCoin, Leave a comment on our Site with this detail: Just write Your “Host name” in your comment.
*Your Host name is: WIN-{Unique identification}
Step3: We will reply to your comment with a decryption software. You should run it on your affected PC, and all encrypted files will be recovered.
*Our Site Address: xxxx://5hvtr4qvmq76zyfq.onion/alpinism/
*Our BitCoin Address:1Ha4Y7QegJL2t577XK6inSUdCYAKKQC99sG
(If you send us 29 BitCoins For all PC’s, Leave a comment on our site with this detail: Just write “For All Affected PC’s” in your comment)
(Also if you want to pay for “all affected PC’s” You can pay 14 Bitcoins to receive half of keys(randomly) and after you verify it send 2nd half
How To Access To Our Site
For access to our site you must install Tor browser and enter our site URL in your tor browser.
You can download tor browser from https://www.torproject.org/download/download.html.en
For more information, please search in Google “How to access onion sites”
# Test Decryption #
Check our site, You can upload two encrypted files, and we will decrypt your files as demo.
#Where to buy Bitcoin
We advice you to buy Bitcoin with Cash Deposit or WesternUnion From xxxxs://localbitcoins.com/ or xxxxs://coincafe.com/buybitcoinwestern.php
Because they don’t need any verification and send your Bitcoin quickly.
#deadline
You just have 7 days to send us the BitCoin after 7 days we will remove your private keys and it’s impossible to recover your files

Перевод записки на русский язык:
# Что случилось с файлами?
Все ваши файлы зашифрованы с RSA-2048 шифрованием, Для дополнительной информации ищите в Google "RSA Encryption."
# Как восстановить файлы?
RSA является асимметричным криптографическим алгоритмом; Вам нужен один ключ для шифрования и один ключ для дешифровки.
Потому вам нужен секретный ключ для восстановления файлов.
Это невозможно восстановить файлы без секретного ключа.
# Как получить секретный ключ?
Вы можете получить свой секретный ключ в 3 простых шага:
Шаг 1: Вы должны прислать нам 1,7 BTC для каждого пострадавшего ПК или 29 BTC за все секретные ключи для всех затронутых ПК.
Шаг 2: После того, как вы отправите нам 1,7 Bitcoin, оставьте комментарий на нашем сайте c деталями: Просто напишите ваш "Host name" в ваш комментарий.
* Ваше имя хоста: WIN-{Уникальный-идентификатор}
Шаг 3: Мы ответим на ваш комментарий с программой для дешифрования. Вы должны запустить его на пострадавшем компьютере, и все зашифрованные файлы будут восстановлены.
* Наш сайт-адрес: xxxx://5hvtr4qvmq76zyfq.onion/alpinism/
* Наш Bitcoin-адрес: 1Ha4Y7QegJL2t577XK6inSUdCYAKKQC99sG
(Если вы пришлете нам 29 BTC для всех ПК, оставьте комментарий на нашем сайте с этой деталью: Просто напишите "For All Affected PC’s" в ваш комментарий)
(Кроме того, если вы хотите платить за "все пострадавшие ПК" вы можете заплатить 14 BTC и получить половину ключей (рэндомно), и после того, как вы проверите их, отправить 2-ю половину суммы
Как получить доступ к нашему сайту
Для получения доступа к нашему сайту вы должны установить Tor-браузер и ввести URL нашего сайта в вашем Tor-браузере.
Вы можете скачать Tor Browser из xxxxs://www.torproject.org/download/download.html.en
Для получения дополнительной информации, пожалуйста, ищите в Google "How to access onion sites"
# Тест дешифрование #
Проверив наш сайт, вы можете загрузить два зашифрованных файлов, и мы расшифруем ваши файлы для демонстрации.
# Как купить Bitcoin
Мы рекомендуем вам купить Bitcoin у Cash Deposit или WesternUnion из xxxxs://localbitcoins.com/ или xxxxs://coincafe.com/buybitcoinwestern.php
Потому что они не нуждаются в проверке и отправят Bitcoin быстро.
# Крайний срок
У вас только 7 дней, чтобы отправить нам Bitcoin, через 7 дней мы удалим ваши личные ключи, и восстановить файлы будет невозможно.

Сайт вымогателей в сети Tor: 5hvtr4qvmq76zyfq.onion/alpinism/



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Вероятно, аналогичен списку SamSam Ransomware

Файлы, связанные с Dr. Fucker Ransomware:
gotohelldr.exe
barbinor2.exe
PLEASE_READ_FOR_DECRYPT_FILES_.html
PLEASE_READ_FOR_DECRYPT_FILES_<victim_id>.html

Сетевые подключения и связи:
Tor-URL: xxxx//5hvtr4qvmq76zyfq.onion/alpinism/
BTC: 1Ha4Y7QegJL2t577XK6inSUdCYAKKQC99sG

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются.


Read to links: 
Tweet on Twitter
ID Ransomware (to ID SamSam)
 Thanks: 
 Karsten Hahn
 Demonslay335 
 *
 
© Amigo-A (Andrew Ivanov): All blog articles.

CryptoLockerEU

CryptoLockerEU 2016 Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,3 биткоина, чтобы вернуть файлы. Название оригинальное, указано в записке о выкупе.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .send 0.3 BTC crypt

Активность этого криптовымогателя пришлась на начало октября 2016 г. 

Записки с требованием выкупа называются: РАСШИФРОВАТЬ ФАЙЛЫ.txt (тоже, что Decrypt files.txt). 

Довольно странный криптовымогатель. Название записки написано на русском, а содержание на английском и с немыслимыми ошибками. Я откорректировал перевод и выделил слова с ошибками вот такой полосой

Содержание записки о выкупе:
CryptoLockerEU 2016 rusia
Your important liles encryption produced on this computer: photos, videos, document, etc.
Encryption was produced using a RSA-2045bit !!
To Obtime the private key for this computer, which will automatically decrypt files, you have to send 0.3 BTC to bitcoin adres 14bPTE6DVpx8Vrzk1wt3M8XsJ5YU3ebzKo
You will receive your private key + software within 2 hours.
You have just 7 days before the private key (password) is deleted
xxxxs://www.coinbase.com/buy-bitcoin
xxxxs://cex.io/buy-bitcoins
- transfer 0.3 BTC  14bPTE6DVpx8Vrzk1wt3M8XsJ5YU3ebzKo
VIRUS ID: 92418LQEU
- on add email
- we send password + software decrypt (now)
- Messengers verification emal - Payments email (bitcoin)
Send : virus id+Bitcoin payment (verification)
decryptme.files@mail.ru
europol.eurofuck@yandex.com
super.decryptme2016@yandex.com
efwerez2015@yandex.com

Перевод записки на русский язык:
CryptoLockerEU 2016 rusia (Russia - Россия)
Ваши важные Liles (files - файлы) шифрование проведено на этом компьютере: фото, видео, документы и т.д.
Шифрование было произведено с помощью RSA-2045bit!! (RSA-2048)
Для Obtime (obtain - получения) закрытого ключа для этого компьютера, который автоматически дешифрует файлы, вы должны отправить 0,3 BTC на Bitcoin adres (address - адрес) 14bPTE6DVpx8Vrzk1wt3M8XsJ5YU3ebzKo
Вы получите ваш личный ключ + программу в течение 2-х часов.
У вас только 7 дней потом секретный ключ (пароль) удаляется
xxxxs://www.coinbase.com/buy-bitcoin
xxxxs://cex.io/buy-bitcoins
- трансфер 0,3 BTC 14bPTE6DVpx8Vrzk1wt3M8XsJ5YU3ebzKo
ВИРУС ID: 92418LQEU
- добавить email
- мы отправим пароль + программу дешифровки (сразу)
- мессенджеры проверят emal (email) - платежи по email (Bitcoin)
Отправить: вирус ID + оплата Bitcoin (проверка)
decryptme.files@mail.ru
europol.eurofuck@yandex.com
super.decryptme2016@yandex.com
efwerez2015@yandex.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
РАСШИФРОВАТЬ ФАЙЛЫ.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
decryptme.files@mail.ru
europol.eurofuck@yandex.com
super.decryptme2016@yandex.com
efwerez2015@yandex.com


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoLockerEU)
 Write-up
 *
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KillerLocker

KillerLocker Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное. 

К зашифрованным файлам добавляется расширение .rip. 
Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. Ориентирован на португалоязычных пользователей.

Запиской с требованием выкупа выступает блокировщик экрана с киллером в обличье клоуна. На уплату выкупа даётся 48 часов. 

Содержание записки о выкупе:
Todos os seus arquivos foram criptografados com uma criptografía AES 256 BIT Muito forte. Realize opagamento em: 000-00100 até 48 horas 

Перевод записки на русский язык:
Все ваши файлы зашифрованы с очень сильным AES 256-бит шифрованием. Выполните условия оплаты в: 000-00100 за 48 часов

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, архивы и пр.

Файлы, связанные с KillerLocker Ransomware:
KillerLocker.exe

Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 29 марта 2017:
Пост в Твиттере >>
KillerLocker.exe
Расширение: .rip
Результаты анализов: VT
<< Скриншот окна экрана блокировки







Read to links: 
Video review
ID Ransomware (ID as KillerLocker)
 Thanks: 
 GrujaRS
 Michael Gillespie
 Karsten Hahn‏

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 1 октября 2016 г.

Krypte

Krypte Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 20 евро с карты PaySafeCard, чтобы вернуть файлы. Название дано самими разработчиками-вымогателями. К зашифрованным файлам добавляется расширение .fearАктивность этого криптовымогателя пришлась на сентябрь 2016 г. Ориентирован на немецкоязычных пользователей.

© Генеалогия: Razy Ransomware >  Krypte Ransomware

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста с экрана блокировки:
Hallo! Ich bin Krypte! Eine Ransomware! Ich habe deine Dokumente,Musik,Bilder und andere Wichtige dateien mit einer AES Verschlüsselung Verschlüsselt. Wenn du deine Daten wiederhaben willst, dann Befolge Bitte diese Anweisungen :) 
Kaufe eine 15-20 Euro Paysafe-Karte und gebe diesen Code in die Textbox Unten ein. Trage deine Email-Adresse in die Andere Textbox ein und drücke auf Weiter. 
Wenn der Paysafekarten-code richtig sein sollte, Bekommst du an deine Email einen Key + Entfern und Entschlüsselungsprogramm. An deiner stelle würde ich kein Antivierenprogramm laufen lassen und nicht versuchen, diesen Virus zu entfernen. Dieses Programm ist deine einzige möglichkeit, deine Daten zurückzubekommen. Dein Private-Key wird nach 72h von unserem Server gelöscht. Viel Erfolg :) 

Перевод на русский язык:
Привет! Я Krypte! Вымогатель! Я твои документы, музыку, фото и другие важные файлы с AES шифрованием зашифровал. Если ты свои данные хочешь вернуть, то прошу следовать инструкциям :)
Купи карту PaySafeCard на 15-20 евро и введи её код в текст-бокс ниже. Впиши свой email-адрес в другой текст-бокс и нажми кнопку "Weiter".
Если код PaySafeCard правильный, ты получишь на свой email-адрес ключ + удалитель и дешифратор.
На твоем месте я бы не стал запускать антивирусных программ и не пытался удалить этот вирус. Эта программа является твоим единственным шансом получить обратно свои данные.
Твой секретный ключ через 72 часа будет удален с нашего сервера. Успехов :)

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Выполняя шифрования Krypte создаёт копию оригинального файла, меняет его имя файлов на рэндомное (случайное), добавляет к нему расширение .fear и удаляет оригинальный файл. Затем генерирует графический файл с требованиями выкупа и отображает блокировщик экрана с текстом вымогателя. 

Список файловых расширений, подвергающихся шифрованию:
 .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .exe, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (159 расширений). 

Файлы, связанные с Krypte Ransomware:
WinOSHelp.exe - исполняемый файл вымогателя;
oldfilename.txt - текстовый файл со старыми именами файлов.

Записи реестра, связанные с Krypte Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
http://www.nyxbone.com/malware/Razy(German).html
http://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-30-2016-princess-locker-locky-switching-to-odin-decryptors-and-more/
 Thanks: 
 MalwareHunterTeam 
 GrujaRS of CyberSecurity GrujaRS
 Lawrence Abrams of BleepingCompute
 Mosh of Nyxbone
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *