Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 6 ноября 2016 г.

FuckSociety

FuckSociety Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей якобы с помощью RSA-4096, а затем требует выкуп в биткоинах, чтобы вернуть файлы. Название оригинальное.

Предыдущие вымогатели со схожим названием: FSociety, Fs0ciety Locker

© Генеалогия: Hidden Tear >> APT Ransomware + RemindMe > FuckSociety 

К зашифрованным файлам добавляется расширение .dll.
Имена файлов не изменяются. 

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
DECRYPT_YOUR_FILES.HTML
Если вам нужны оригинал-скриншоты без водяных знаков и в высоком разрешении, напишите автору блога. 
If you need the original screenshots without watermarks and in high resolution, please contact to author of blog.

Содержание записки о выкупе:
Society
All your files have been encrypted with Fuck Society Ransomware
YOU HAVE 5 DAY TO MAKE PAYMENT OR ALL YOUR FILES HAVE BEEN DELETED!
For each file unique ,strong key. Algorithm RSA4096 look at https://en.wikipedia.org/wiki/RSA_(cryptosystem)
- All your attempts to restore files on their own, lead to the loss of the possibility of recovery and we are not going to help you.
Your unique ID for decrypt: 57002ca9-084a-47c3-9390-0e625389c2ae
FOR DECRYPT YOUR FILES , BUY YOUR UNIQUE DECRYPTION CONFIG:
https://satoshibox.com/eicwgigj8evd65qn4it8q3m4/buy
 In file you find link to decryptor , and link to decryption config file
Make your Bitcoin Wallet on:
blocl.io
coinbase.com
blockchain.info
YOU CAN BUY BITCOINS ON:
btc-e.nz
localbitcoins.com
AND OTHER EXCHANGE SITES.

Перевод записки на русский язык:
Общество
Все ваши файлы были зашифрованы с Fuck Society Ransomware
У вас есть 5 дней, чтобы заплатить или все ваши файлы будут удалены!
Для каждого файла уникальный, сильный ключ. Алгоритм RSA4096 смотри на https://en.wikipedia.org/wiki/RSA_(cryptosystem)
- Все ваши попытки восстановить файлы самому, приведут к потере возможности восстановления, и мы не будем помогать вам.
Ваш уникальный ID для дешифрования 57002ca9-084a-47c3-9390-0e625389c2ae
Для дешифрования файлов купите ваш уникальный config-файл дешифрования:
https://satoshibox.com/eicwgigj8evd65qn4it8q3m4/buy
В файле вы найдете ссылку на декриптор, а также ссылку на config-файл дешифрования
Создайте свой Bitcoin-кошелёк:
blocl.io
coinbase.com
blockchain.info
Вы можете купить Bitcoins на:
btc-e.nz
localbitcoins.com
И другие сайты обмена.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
.accdb, .adi, .adt, .altr, .arw, .asmx, .asp, .aspx, .bat, .cdr, .css, .csv, .dbf, .doc, .docx, .dwf, .dwg, .ecw, .eps, .frm, .html, .jpeg, .jpg, .js, .mdb, .msg, .odt, .pdf, .php, .pix, .png, .ppt, .pptx, .psd, .qbb, .qbo, .qbw, .qbw, .rpt, .sldprt, .sln, .sql, .sqlite, .tif, .tlg, .txt, .xls, .xlsx, .xml (49 расширений). 

Примечательно, что этот список заимствован создателями вредоноса у другого крипто-вымогателя RemindMe, но был дополнен. 

Файлы, связанные с FuckSociety Ransomware:
DECRYPT_YOUR_FILES.HTML
FSociety.exe
report.exe

Записи реестра, связанные с FuckSociety Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ ещё >>

Степень распространённости: низкая.
Подробные сведения собираются.

ИтогоЭтот вымогатель представляет собой Mix (смесь, мешанину) из разных составляющих, включенных в него из других крипто-вымогателей. Разумеется, это сделано с целью запутать исследователей и еще сильнее деморализовать пострадавших. 
FuckSociety Mix: 
FSociety - имя exe-файла от других с похожим названием FSociety;
Extension set - от RemindMe + 19 новых расширений;
FuckSociety расширение .dll + записка DECRYPT_YOUR_FILES.HTML

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as FuckSociety)
 Video review
 *
 Thanks: 
 Michael Gillespie
 CyberSecurity GrujaRS
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 5 ноября 2016 г.

PayDOS, Serpent

PayDOS Ransomware 

Serpent Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,33 биткоинов, чтобы вернуть файлы. Название оригинальное, судя по exe-файлу и заголовку в DOS-окне.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .dng
Кроме того файлы переименовываются в нумерованном порядке: от 1 до имеющегося количества файлов. Пример см. на скриншоте выше. 

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются README.txt
Вымогатель считывает имя пользователя и в записке обращается к нему по этому имени. 

Все требования также продублированы в DOS-окнах: PayDOS и SERPENT

Содержание текста из окна PayDOS:
I am so sorry you can see me. If you can I have bad news.
It seems all your files have been encrypted and there is nothing that you can do about this. However with my help I can help you restore them. You need a passcode to decrypt them. Send exactly 0.33 BTC to this address: 
You will be send the PASSCODE.

Перевод текста на русский язык:
Я сожалею, что вы видите меня. Если это так, то у меня для вас плохие новости. Увы, все ваши файлы зашифрованы и ничего вы не можете сделать в этом случае. Но с моей помощью я могу помочь вам вернуть их. Вам нужен passcode, чтобы дешифровать их.
Отправьте ровно 0,33 BTC по этому адресу:
Вы должны прислать PASSCODE.


Содержание текста из окна SERPENT:
Hello User,
Your files have all been encrypted using a heavy encryption called "RSA-2048". You will not be able to access the files unless you have been provided the PASSCODE. This unfortunate event does have a solution By paying a small fee you can get all of your files back as you will be sent the passcode.
You can find the contact information bellow...
WEBSITE:
EMAIL: SERPENT.RANSOM@NOTREALMAIL.COM

Перевод текста на русский язык:
Привет Пользователь,
Ваши файлы все зашифрованы с помощью тяжелого шифрования называемым "RSA-2048". Вы не сможете получить доступ к файлам, если вы не получили PASSCODE. Этот несчастный случай имеет решение, заплатив небольшую плату, вы можете получить все ваши файлы обратно, когда вам будет выслан passcode.
Вы можете найти контактную информацию ниже...
WEBSITE:
EMAIL: SERPENT.RANSOM@NOTREALMAIL.COM

Для сведения, PASSCODE: AES1014DW256

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, в том числе под видом легитимного ПО Skype. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Директории, подвергающиеся шифрованию:
C:\Users\%Username%\AppData\Local
C:\Users\%Username%\Desktop
C:\Users\%Username%\Documents
C:\Users\%Usernanie%\Music
C:\Users\%Usernane%\Uideos
C:\Users\%Usernane%\Downloads
C:\Users\%Username%\Pictures

Список файловых расширений, подвергающихся шифрованию:
.avi, .dav, .dgg, .dif, .dng, .dnk, .dov, .dp3, .dp4, .dpg, .drl, .dsi, .dvi, .dxe, .dxt, .exe, .gif, .Ink, .jpg, .mov, .mp3, .mp4, .msi, .ogg, .png, .txt, .url, .wav (28 расширений). 

Файлы, связанные с PayDOS Ransomware:
SpikeSkype_SETUP.exe
PayDOS_Ransomware_unlockcode_AES1014DW256.exe"
C:\WINDOWS\system32\cmd" /c ""C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.bat
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.bat
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\3E2A.tmp\3E2B.bat
%TEMP%\3E2A.tmp\3E2B.bat C:\PayDOS_Ransomware_unlockcode_AES1014DW256.exe
И другие. 

Записи реестра, связанные с PayDOS Ransomware:
см. ниже гибридный анализ.

Сетевые подключения:
см. ниже гибридный анализ.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up on BC
 ID Ransomware (n/a)
 Thanks: 
 Jakub Kroustek 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

zScreenLocker

zScreenLocker Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное, буква z в начале указывает на автора - by zenn. В проекте ник пользователя ПК вымогателя: bunk3r_tor. Вероятно, из Бразилии. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение * нет данных *

Образец этого крипто-вымогателя был найден в начале ноября 2016 г. Видимо находится в разработке, т.к. нет никаких контактов для выплаты выкупа и других данных, характерных для крипто-вымогателей. 

Обоями рабочего стола встаёт изображение зелёного флага с надписью "Ban Islam" в жёлтом ромбе. Что этим хотел выразить разработчик, неизвестно. 


Содержание текста:
Ban Islam

Технические детали

Может распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, а также под видом загружаемого видеофайла. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
* нет данных *

Файлы, связанные с zScreenLocker Ransomware:
zScreenLocker.exe
<image>

Записи реестра, связанные с zScreenLocker Ransomware:
См. ниже гибридный анализ. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 *
 Thanks: 
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 4 ноября 2016 г.

Gremit

Gremit Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,03 биткоинов, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .rnsmwr.

Образец этого криптовымогателя был обнаружен в начале ноября 2016 г. Ориентирован на англоязычных пользователей.

Запиской с требованием выкупа выступает блокировщик экрана с заголовком "What happened?".

Содержание записки о выкупе:
What happened?
Most of your files have been encrypted. You'll need to pay to get them back.
Do not try to do stupid things, or i'll erase your whole Harddrive forever. It's just one click for me
and I don't care about your files.
How to Pay?
https://bitcoin.org/en/getting-started
Amount:
0.03 BTC [~19€ /~21$]
Send Bitcoin to the following Adress:
1345GFjbj5b2NJNb4mg8hVKrRmJpcDwUkn
You paid but you are still not able to decrypt your files?
Just turn off your computer and try again in some hours.

Перевод записки на русский язык:
Что случилось?
Большинство ваших файлов зашифрованы. Вам нужно заплатить, чтобы получить их обратно.
Не пытайтесь делать глупостей или я стиру весь ваш жёсткий диск. Это лишь один клик для меня и я не пожалею ваши файлы.
Как заплатить?
https://bitcoin.org/en/getting-started
Количество:
0.03 BTC [~ 19 € / ~ 21 $]
Отправить Bitcoin на следующий адрес:
1345GFjbj5b2NJNb4mg8hVKrRmJpcDwUkn
Вы заплатили, но вы еще не можете расшифровать свои файлы?
Просто выключите компьютер и повторите через несколько часов.

Находится в разработке. Шифруются все файлы в папке C:\Users\Tim\Desktop\encrypt\ 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
Нет списка. 

Файлы, связанные с Gremit Ransomware:
Ransomware.exe
<Random_name>.exe
Gremit_ransomware.exe

Записи реестра, связанные с Gremit Ransomware:
См. ниже гибридный анализ.

Сетевые подключения и связи:
хттпs://bitcoin.org/en/getting-started
хттп://pastebin.com/raw/hH9hnfxY

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 *
 *
 Thanks: 
 Karsten Hahn
 PayloadSecurity
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Hollycrypt

Hollycrypt Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп немного биткоинов, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: HiddenTear >> Hollycrypt

К зашифрованным файлам добавляется расширение .Hollycrypt.

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Read_this_shit.txt

Содержание записки о выкупе:
Your Files has been encrypted with Hollycrypt
Send me some bitcoins or Vodka , Then I will email with an antidote
 (>,<) , Email:Hollyman137@gmail.com.

Перевод записки на русский язык:
Ваши файлы зашифрованы с Hollycrypt
Пошлите мне немного Bitcoins или Водку, и я по email дам антидот
 (>, <) , Email:Hollyman137@gmail.com.

Распространяется с помощью email-спама и вредоносных вложений (в данном случае PDF.EXE-файла), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Hollycrypt Ransomware:
Hollycrypt.exe
<random>.PDF.EXE
Read_this_shit.txt

Записи реестра, связанные с Hollycrypt Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 *
 *
 Thanks: 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BTCLocker

BTCLocker Ransomware 

BTC Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует связаться по email с вымоагтелями, чтобы выкупить декриптер и дешифровать файлы. Название получил от добавляемого расширения.

© Генеалогия: Radamant > BTCLocker

К зашифрованным файлам добавляется расширение .BTC.

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
BTC_DECRYPT_FILES.txt
BTC_DECRYPT_FILES.html

Содержание записки о выкупе:
Hello!
For getting back Your PC data You need to contact with us through email as soon as possible:
zikr@protonmail.com
zikra@protonmail.com
zikr@usa.com

Перевод записки на русский язык:
Привет!
Для возвращения вашего ПК данных вам нужно связаться с нами по email как можно скорее:
zikr@protonmail.com
zikr@protonmail.com
zikr@usa.com

Диалог декриптера:
Now begins the decryption of your files! 
Do not turn off the power and turn on the carriers that have been encrypted! 
When you're ready, click "OK".

Перевод на русский:
Сейчас начнётся дешифрование файлов!
Не выключайте питание и подключите носители, которые были зашифрованы!
Когда будете готовы, жмите "OK".

Распространяется с помощью email-спама и вредоносных вложений, в том числе PDF-документов с иконкой Adobe, а также фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

После шифрования удаляются тома теневых копий файлов. 

Список файловых расширений, подвергающихся шифрованию:

.2015, .3fr, .500, .7z, .accdb, .ai, .apk, .arch00, .arw, .asc, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cab, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .ebc, .ebq, .epb, .epk, .eps, .erf, .esm, .ets, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gpc, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .IIF, .indd, .itdb, .itf, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .lgb, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .mye, .myox, .mysql, .ncf, .nd, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .ofx, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptb, .ptx, .py, .qba, .qbatlg, .qbb, .qbm, .qbo, .qbw, .qbx, .qby, .qdf, .qdf, .qfx, .qic, .qif, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sai, .saj, .sav, .sb, .sdb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx,.sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t11, .t12, .t13, .t14, .t15, .tax, .tax2013, .tax2014, .tax2015, .tax2016, .tlg, .tor, .tt14, .tt15, .tt16, .txf, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp, (230+ расширений). 

Файлы, связанные с BTCLocker Ransomware:
BTC_DECRYPT_FILES.txt
BTC_DECRYPT_FILES.html
%USERPROFILE%\AppData\<random_name>.exe
%ALLUSERSPROFILE%\<random_name>.exe
%PROGRAMFILES%\<random_name>.exe
%WINDIR%\<random_name>.exe
%Temp%\<random_name>.tmp
%AppData%\wallpaper.wall
%WINDIR%\System32\key.public
%WINDIR%\System32\key.private

Записи реестра, связанные с BTCLocker Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:
172.81.176.146
190.10.8.128
81.2.237.32
См. ниже гибридный анализ.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление от 22 февраля 2017:
Пост в Твиттере >>
Email: gelar@protonmail.com и gelarx@protonmail.com
Записка: BTC_DECRYPT_FILES.txt
Расширение: .BTC
Фальш-имя: Animated

Результаты анализов: VT

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 Thanks: 
 Michael Gillespie 
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 3 ноября 2016 г.

EncryptoJJS

EncryptoJJS Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Образцы этого криптовымогателя были обнаружены в начале ноября 2016 г. Ориентирован на англоязычных пользователей, что не помешает вымогателям распространять его по всему миру.

Записки с требованием выкупа называются: 
How to recover.enc.txt

Содержание записки о выкупе:
All of your pictures have been encrypted and are impossible to decrypt
If you ever want to see your pictures again please visit:
www.mymalicioussite. ru
You will need 1 bitcoin to complete the transaction

Перевод записки на русский язык:

Все ваши фотографии были зашифрованы и их невозможно расшифровать.
Если вы хотите увидеть свои фотографии снова, пожалуйста, посетите:
www.mymalicioussite.ru
Вам понадобится 1 Bitcoin для завершения сделки.

По всей видимости пока находится в разработке. После релиза вполне может начать распространяться по стандартной вымогательской схеме: с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с EncryptoJJS Ransomware:
How to recover.enc.txt
EncryptoJJS_Ransomware.exe

Имена файлов:
EncryptoJJS_Ransomware
encryptoJJS 1.0.exe

Записи реестра, связанные с EncryptoJJS Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:
хттп://www.mymalicioussite.ru/
хттп://ioussite.ru/

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kangaroo

Kangaroo Ransomware 

Apocalypse-Kangaroo Ransomware 

(шифровальщик-вымогатель) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1-2-3 BTC или больше, чтобы вернуть файлы. Известны случаи, когда требовали выкуп ещё несколько раз после уплаты первого. Оригинальное название: Kangaroo. 

© Генеалогия: Apocalypse >> EsmeraldaKangaroo > Missing

К зашифрованным файлам добавляется расширение .crypted_file.

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: 
*.Instructions_Data_Recovery (добавляется к имени каждого зашифрованного файлу, таким образом будет столько записок, сколько зашифровано файлов). 

Содержание записки о выкупе:
Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.
You have to contact the email below along with your Personal Identification ID to restore the data of your system.
Your Personal Identification ID: 2F5BD40FDE
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email.

Перевод записки на русский язык:
Windows столкнулась с критической проблемой и требует немедленного действия для восстановления ваших данных. Доступ к системе блокирован, а все данные зашифрованы, чтобы избежать обнародования информации или злоупотребления. Вы не сможете получить доступ к файлам, а игнорирование этого сообщения может привести к полной потере данных. 
Мы приносим свои извинения за неудобства.
Вам следует обратиться на email ниже, чтобы восстановить данные вашей системы.
Ваша персональная идентификация ID: 2F5BD40FDE
E-mail: esmeraldaencryption@mail.ru
Вы должны заказать Unlock-пароль и Kangaroo Decryption Software. Все инструкции будут отправлены вам по электронной почте.

Текст из записки дублируется в экране блокировки. Там же можно разблокировать файлы, чтобы закрыть окно блокировщика. Затем в работу вступит декриптор. 

Вымогатель настраивает реестр таким образом. чтобы жертва могла прочитать официальное уведомление от вымогателей перед загрузкой Windows. 
Но и после этого войти в систему не удастся, т.к. блокируется Диспетчер задач и подменяется файл Проводника Windows (explorer.exe) и жертва должны уплатить выкуп. Хотя часть фукнционала вымогателя можно отключить в безопасном режиме, полностью восстановить систему и вернуть файлы без уплаты выкупа пока не представляется возможным. 



Технические детали

Вымогатель, как оказалось, НЕ распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Хакеры взламывают компьютер по протоколу удаленного рабочего стола и устаналивают шифровальщик вручную. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога



➤ Во время первого запуска шифровальщик отображает уникaльный ID жертвы и ключ шифрования, которые операторы вредоноса должны сами скопиpовать. Затем уже файлы пользователя шифруются, добавляя к файлам расширение .crypted_file

После шифрования делаются попытки удалить тома теневых копий файлов, но по разным причинам это действие не всегда эффективно.  

Список файловых расширений, подвергающихся шифрованию:
Многие популярные расширения. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с Kangaroo Ransomware:
Instructions_Data_Recovery.txt
Apocalypse_ransomware.exe
explorer.exe
explorer.exe.mui
C:\Program Files (x86)\Windows NT\explorer.exe

Записи реестра, связанные с Kangaroo Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeCaption"="Attention!"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeText"="Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.
You have to contact the email below along with your Personal Identification ID to restore the data of your system.
Your Personal Identification ID: E557162BUS
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email."

Сетевые подключения:
Email: kangarooencryption@mail.ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: средняя.
Подробные сведения собираются.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

***


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 Tweet on twitter
 ID Ransomware (ID as Apocalypse)
Added later
Write-up on BC
*
*
 Thanks: 
 Michael Gillespie, JAMESWT, Lawrence Abrams
 Andrew Ivanov
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *