Если вы не видите здесь изображений, то используйте VPN.

вторник, 20 декабря 2016 г.

EnkripsiPC

EnkripsiPC Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное, кроме того в коде упоминаются: Indonesian Ransomware v3, IDRANSOMv3. Разработчик: humanpuff69. 

© Генеалогия: DetoxCrypto(?) >> EnkripsiPC

К зашифрованным файлам добавляется расширение .fucked

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на индонезийских пользователей, в коде даже прямо указано, что "Ransomware that encrypt all your files with indonesian language"  (Вымогатель, шифрующий все ваши файлы на индонезийском языке). Этот факт, конечно же, не мешает распространять его по всему миру и заражать другие компьютеры. 

Запиской с требованием выкупа выступает экран блокировки и диалоговое окно. Я сделал анимацию, показывающую, как по нажатию кнопки "Kembalikan File Saya!" открывается нижняя часть экрана, и перевёл текст с индонезийского на русский.

Содержание записки о выкупе:
EnkripsiPC
SEMUA FILE ANDA TELAH TER ENKRIPSI
Assalamualaikum Wr Wb
Kami telah Mengenkripsi semua file anda
alhasil file anda TIDAK BISA DIBUKA
dan semua file anda berekstensi .fucked
untuk mengembalikan semua file anda
silahkan bayar kepada kami agar kami
memberikan kode untuk mengembalikan
semua file anda
jika anda diam saja tidak melakukan apa apa
data anda tidak akan pemah bisa dibuka
sampai anda membayar kepada kami
itu saja sekiian dari kami
wassalamualaikum wr wb
---
button "Kembalikan File Saya!"
---
Cara Mengembalikan File Anda
1. Silahkan Minta Kode Pembuka Kepada Kontak Berikut
LINE: manusiapartGS
Facebook: muhammad.f.nazeeh
Youtube: humanpuff69
email: fulldoang@gmail.com
mgfakhri@gmail.com
muhlubaid69@gmail .com
ID KOMPUTER = WMMT/RM
2. Bayar Denda Sesuai yang disuruh
Biaya Pengembalian file:
Rp 50.000 - Rp 100.000
3. Setelah melakukan pembayaran anda akan diberi kode untuk dimasukan dibawah sini untuk mengembalikan file anda... 
button "BUKA"

Перевод записки на русский язык:
EnkripsiPC (Шифрование ПК)
Все ваши файлы зашифрованы 
Ассалямалейкум Wr Wb (User)
Мы зашифровали все файлы
следовательно, твои файлы не удастся открыть
и все твои файлы с расширениями .fucked
чтобы восстановить все файлы
пожалуйста, пришли нам, чтобы мы
предоставили код для восстановления
всех твоих файлов
если ты молчишь ничего не делаешь
никогда не будут раскрыты твои данные
пока ты не заплатишь нам
это просто, так многие из нас делают
Вассаламалейкум Wr Wb (User)
---
кнопка "Восстановить Мои Файлы!"
---
Как восстановить файлы
1. Спроси код разблокировки здесь, чтобы связаться
LINE: manusiapartGS
Facebook: muhammad.f.nazeeh
Youtube: humanpuff69
email: fulldoang@gmail.com
mgfakhri@gmail.com
muhlubaid69@gmail .com
ID KOMPUTER = WMMT/RM
2. Заплатить выкуп на эту сумму:
Rp 50.000 - Rp 100.000
3. После выполнения оплаты тебе будет предоставлен код, который нужно ввести здесь, чтобы восстановить файлы 
[нажать кнопку "BUKA"]

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для выполнения шифровальщика требуются права администратора, под ограниченной учетной записью оно не может выполниться. 
Перевод диалога на русский:
ВНИМАНИЕ !!!
Это приложение было запущено с ограниченными правами.
Для его правильной работы требуется
Запустить его от имени администратора.

Список файловых расширений, подвергающихся шифрованию:
.bin, .dat, .doc, .exe, .ini, .log, .manifest, .pif, .prx, .xml, 
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
AutoUBLhack0.97.exe
CheatPBG161218.exe

Фальш-имя: Intaller Install Program

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Обновление от 20 января 2017:
Пост в Твиттере >>
Название: DNRansomware
Расширение: .fucked
Код для дешифровки:
83KYG9NW-3K39V-2T3HJ-93F3Q-GT


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as EnkripsiPC)
 Write-up
 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BrainCrypt

BrainCrypt Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы вернуть файлы. Срок на уплату выкупа — 2 дня. Название дано от используемого расширения. Написан на языке Go.

© Генеалогия: выясняется.

BrainCrypt Ransomware
Изображение не имело отношения к шифровальщику

К зашифрованным файлам добавляется расширение .braincrypt по шаблону 
.[braincrypt@india.com].braincrypt

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

На данный момент замечены пострадавшие из следующих стран: Германия и Беларусь. 

Записки с требованием выкупа называются: !!! HOW TO DECRYPT FILES !!!.txt

Содержание записки о выкупе:
YOUR FILES WERE ENCRYPTED.
TO DECRYPT FILES, PLEASE, CONTACT US WRITING ON THIS EMAIL: headlessbuild@india.com 
YOUR PERSONAL ID: b341f***

Перевод записки на русский язык:
Ваши файлы были зашифрованы.
Для расшифровки файлов, пожалуйста, напишите нам на этот email: 
headlessbuild@india.com
Ваш персональный ID: b341f***

Другой вариант записки о выкупе:
Good morning, your files have been scrambled by trojan.
To decrypt, you must turn on the email: headlessbuild@india.com
with request about decrypting files.
You need to send in the email-message with your personal ID: dbl73a898f7ac78b83775ff7493ecl77

Faster write to us and we will save your data in another case, they may be lost forever. Time 2 days.

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.bak, .bin, .bmp, .dat, .db, .DeskLink, .doc, .docx, .DTD, .exe, .htt , .ini, .jpg, .lnk, .log, .MAPIMail, .mydocs, .ppt, .pptx, .sam, .scf, .shw, .sst, .theme, .tmp, .txt, .url, .wav, .wb2, .wk4, .wma, .wmdb, .wpd, .wpg, .wpl, .xls, .xlsx, .xml, .ZFSendToTarget (39 расширений) и другие.  
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие файлы и пр. 

Файлы, связанные с этим Ransomware:
!!! HOW TO DECRYPT FILES !!!.txt
rlsys.exe
<random>.exe
<random>.tmp
.key.brain
.pblkey.brain

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***alex-luthor.myjino.ru (81.177.140.121:80 Россия)
***shussain962.myjino.ru
***docusign.myjino.ru/
***online-navy-nfcu.myjino.ru
***bridedress.com.ua/ru/ (Украина)
***golang.org
braincrypt@india.com
headlessbuild@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as BrainCrypt)
 Write-up
 *
 *
 Thanks: 
 Michael Gillespie
 xXToffeeXx
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

MNS CryptoLocker

MNS CryptoLocker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,2 биткоина, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение ***

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: RESTORE_YOUR_FILES.txt

Содержание записки о выкупе:
YOUR UNIQ ID: ***
ALL YOUR FILE LOCKED WITH MNS CRYPTOLOCKER!
SEND 0.2 BTC TO ADRESS 19o4mEEgQhMDSWfsKcDgm8RjT16cCa33Xq
FOR DECRYPT YOUR FILES 
SEND YOUR UNIQ ID AND BTC WALLET FROM WICH PAID
TO EMAIL alex.vas@dr.com
AFTER WE RECEIVE BITCOINS AND YOR EMAIL, WE CONTACT WITH YOU

Перевод записки на русский язык:
Твой UNIQ ID: ***
Все твой файл блокирован с MNS Cryptolocker!
Отправь 0.2 BTC на адрес 19o4meegqhmdswfskcdgm8rjt16cca33xq 
для расшифровки твоих файлов 
Отправь UNIQ ID и кошелек BTC, с которого платил
на email alex.vas@dr.com
После мы получим Bitcoins и твой email, мы свяжемся с тобой.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
RESTORE_YOUR_FILES.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
alex.vas@dr.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MNS CryptoLocker)
 Write-up
 *
 *
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 19 декабря 2016 г.

CryptoBlock

CryptoBlock Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 0,3 биткоинов, чтобы вернуть файлы. Название оригинальное. Фальш-имя: Adobe Systems, Incorporated.

© Генеалогия: выясняется.


Изображение не относится к шифровальщику

К зашифрованным файлам добавляется случайное расширение и сами файлы тоже переименовываются случайным набором букв, цифр и символов. Прочитать ничего невозможно. Как-то опознать файл можно только по размеру. См. пример. 
CryptoBlock Ransomware encrypted files

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 
CryptoBlock Ransomware


Содержание текста с экрана блокировки:
CryptoBlock
Your personal files are encrypted!
Your personal files encryption produced on this computer: photos, videos, documents, etc. Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files...
To obtain the private key for this computer, which will automatically decrypt files, you need to pay 0.3 bitcoin (~210 USD).
You can easily delete this software, but know that without it, you will never be able to get your original files back.
Disable your antivirus to prevent the removal of this software.
For more information on how to buy and send bitcoins, click "How to pay"
Do not delete this list, it will be used for decryption. And do not move your files.
Each time the timer expires, the total cost will raise.
After the purchase is made, wait 1-3 hour for our confirmation of the bitcoins.
After that click on "Decrypt Files" to Decrypt your files.

Текст с правой части экрана: 
First send the bitcoin to this adress and then
click on the blue button
Send exactly 0.3 BTC to this address:
Note: You should send the bitcoins to this adress
Click here if you send the bitcoins
Note: You can purchase bitcoins from this sites for yourself
xxxs://localbitcoins.com
xxxs://www.coinbase.com
xxxs://cex.io (UK)
xxxs://paxful.com

Перевод текста на русский язык:
CryptoBlock
Ваши личные файлы зашифрованы!
Ваши личные файлы шифрование произведено на этом компьютере: фото, видео, документы и т.д. Шифрование было произведено с уникальным открытым ключом RSA-2048 созданным для этого компьютера.
Для расшифровки файлов вам нужно получить закрытый ключ.
Единственная копия секретного ключа, который может расшифровать файлы, находится на секретном сервере в Интернет; сервер уничтожит ключ после указанного срока в этом окне. После этого никто и никогда не сможет восстановить файлы...
Для получения секретного ключа для этого ПК, который автоматически расшифрует файлы, вам нужно заплатить 0,3 биткоина (~210 USD).
Вы можете легко удалить эту программу, но знайте, что без неё, вы никогда не сможете получить исходные файлы обратно.
Отключите антивирус, чтобы предотвратить удаление этой программы.
Для информации о том, как купить и отправить биткоины, жмите "How to pay"
Не удаляйте этот список, он нужен для дешифрования. И не перемещайте ваши файлы.
Каждый раз, когда таймер обнуляется, сумма повышается.
После сделанной покупки ждите 1-3 часа для подтверждения приема биткоинов.
Потом жмите "Decrypt Files" для расшифровки своих файлов.

Перевод текста с правой части экрана: 
Сначала отправьте биткоин на этот адрес, а затем нажмите на синюю кнопку
Пошлите ровно 0,3 BTC по этому адресу:
Примечание: Вы должны отправить биткоины на этот адрес
Жмите здесь, если вы посылаете биткоины 
Примечание: Вы можете купить биткоины на этих сайтах для себя 
xxxs://localbitcoins.com
xxxs://www.coinbase.com
xxxs://cex.io (UK)
xxxs://paxful.com

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
dynamiclinkmediaserver.exe
Ndamin.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***www.filecrypter.in (138.201.207.84:80)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Обновление от 10 марта 2017:
Новое название: FileCrypter
Открыли FileCrypter Shop
Разрабатывают RaaS

Сайт: xxxx://filecrypter.in (138.201.207.84:80)
Статья MalwarebytesLabs >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up (n/a)
 *
 *
 Thanks: 
 R0bert R0senb0rg
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 18 декабря 2016 г.

AES-NI

AES-NI Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (ECB-режим) + RSA-2048, а затем требует написать на email вымогателей, чтобы выкупить секретный ключ и вернуть файлы. Сначала название дано по логину из email вымогателей, потом подтвердилось. 

© Генеалогия: AES-NI. Начало.

К зашифрованным файлам добавляется расширение:
.aes256 
.aes_ni 
.aes_ni_gov - для атак на госучреждения (спец. сборка);
.lock - используется тем, кто перешёл с Globe. 

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
!!! READ THIS - IMPORTANT !!!.txt

Содержание записки о выкупе:
< YOUR FILES ARE ENCRYPTED! >
SORRY! All personal files on your computer are encrypted.
File contents are encrypted with random key (AES-256; ECB mode).
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
   aes-ni@protonmail.com
   aes-ni@tuta.io
Also you can write to BitMsg (https://bitmsg.me) address
  if you did not receive any answer on e-mail:
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
You will receive instructions of what to do next.
You MUST refer this ID in your message:
*****
< YOUR FILES ARE ENCRYPTED! >

Перевод записки на русский язык:
< ТВОИ ФАЙЛЫ ЗАШИФРОВАНЫ! >
ПРОСТИ! Все личные файлы на твоем компьютере зашифрованы.
Содержимое файла зашифровано со случайным ключом (AES-256, режим ECB).
Случайный ключ шифруется с помощью открытого ключа RSA (2048 бит).
Мы убедительно не советуем использовать "инструменты дешифрования".
Эти инструменты могут привести к повреждению данных, что сделает восстановление НЕВОЗМОЖНЫМ.
Если хочешь расшифровать свои файлы, то должен получить RSA секретный ключ.
Для заказа секретного ключа, пиши сюда:
   aes-ni@protonmail.com
   aes-ni@tuta.io
Также можешь написать на BitMsg-адрес (https://bitmsg.me) 
   если ты не получил никакого ответа на email:
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
Ты получишь инструкции о том, что делать дальше.
Ты должен передать этот ID в своем сообщении:
*****
< ТВОИ ФАЙЛЫ ЗАШИФРОВАНЫ! >

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

AES-NI определяет локальный язык и страну пользователей, подключаясь в адресу ipinfo.io, поэтому шифровальщик не работает у пользователей из России и стран СНГ (защита от запуска). 
Использует антиреверсинг, определяет запуск в песочнице.
Использует C&C-сервер в Tor-сети. 

Использует инжект в выполняющиеся процессы.


Шифруются все файлы, кроме тех, что имеют расширения:
.dll, .exe, .lnk, .mui, .sys

Таким образом документы MS Office, PDF, базы данных, фотографии, музыка, видео, архивы наверняка будут зашифрованы, а система будет работать. 

Файлы, связанные с этим Ransomware:
!!! READ THIS - IMPORTANT !!!.txt
<random>.exe
C:\ProgramData\[PC_NAME#ID].key.lock -  оффлайн-ключи

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
aes-ni@protonmail.com
aes-ni@tuta.io
0xc030@protonmail.ch
frogobigens@india.com (ранее был замечен в Globe2)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление от 27 февраля 2017:
Файлы с ключами: .key.aes_ni_gov
Email: 0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@sigaint.org
<< Скриншот записки (реконструкция)



Обновление от 9 февраля / 13 марта:

Новая тема поддержки пользователей на BC
Расширение: .lock
Записка: !!! READ THIS - IMPORTANT !!!.txt
Email: frogobigens@india.com (перешли на AES-INI после использования Globe). 
Идентификация ПК жертвы по шаблону: 
Your ID: PC_NAME#HASH style ID [random_A-Z0-9]{32}
Содержание записки о выкупе:
Your ID: COMP#0B090BFB5147AAE38F4CF1F1F507935D
Also check for .key.lock files in the C:\ProgramData directory and send them to support.
Translation at the expense of Bitcoin address
1HyasSC2VifTZo7YkUNn33udnWXw3*****
Buy Bitcoin here https://localbitcoins.com or
https://www.buybitcoinworldwide.com/find-exchange/ or
https://www.coinbase.com or
https://www.xmlgold.eu  or
any other exchanger
or
write to Google how to buy Bitcoin in your country?
after payment you will receive a program that automatically decrypts all your files
mail support frogobigens@india.com
NO money = NO decryption

Степень распространённости: низкая. 
Подробные сведения собираются регулярно.


Обновление 20 июня 2017:
КЛЮЧИ и ДЕКРИПТЕР от РАЗРАБОТЧИКА AES-NI для ДЕШИФРОВКИ
------------------------------------------------------
IN ENGLISH
-------------------------
keys: https://www.sendspace.com/file/8co1k2
pass: dT3FfWkaOKaWGLk
MD5: 269802A70BEC0D74DA42D74DB7EEDE6F
SHA-256: 72CD9E37779910B9CCDA99489455FAF0A44EDA823DE1AF2376F5589DE8194E15
---
Decrypter and private keys
https://www.sendspace.com/file/n3ha1w
password: 6bvlWD9yz3yBtQyOhtAqFheg
MD5 D0187361E5E893D1CF23EA1877F340C2
---
RSA 2048 private master key for offline AES-NI keys.
https://www.sendspace.com/file/fz133k 
pass: 85W0vhRkPbqcvaTafHknhMRP
---
We wish you a successful decrypting!
---------------------------------------------------
НА РУССКОМ ЯЗЫКЕ
-------------------------
ключи: https://www.sendspace.com/file/8co1k2
пароль: dT3FfWkaOKaWGLk
MD5: 269802A70BEC0D74DA42D74DB7EEDE6F
SHA-256: 72CD9E37779910B9CCDA99489455FAF0A44EDA823DE1AF2376F5589DE8194E15
---
Декриптер и закрытые ключи
https://www.sendspace.com/file/n3ha1w
пароль: 6bvlWD9yz3yBtQyOhtAqFheg 
MD5 D0187361E5E893D1CF23EA1877F340C2
---
RSA 2048 закрытый мастер-ключ оффлайн ключей AES-NI.
https://www.sendspace.com/file/fz133k 
пароль: 85W0vhRkPbqcvaTafHknhMRP
---
Желаем вам успешной дешифровки!


------------------------------------------------------

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as AES-NI)
 Topic on BC / Now Topic on BC
 Thanks: 
 Michael Gillespie
 BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Koolova

Koolova Ransomware

Koolova HT Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем отображает экран блокировки, в котором текст медленно двигается. Этот текст гласит, что жертва должна прочитать две статьи BleepinComputer статью по Jigsaw и Google статью по онлайн-безопасности, прежде чем получит ключ дешифрования. 


Затем пострадавшему сообщается, что если он так ленив, чтобы не может прочитать две статьи пока таймер не досчитал до нуля, то как в случаем Jigsaw, он будет удалять зашифрованные файлы. Название оригинальное, другие названы в тексте требований: Nice Jigsaw и Jigsaws twin. Разработчик: Koolova Paul. Судя по образцам (см. в конце статьи), есть несколько разных вариантов. 

© Генеалогия: Jigsaw + HiddenTear >> Koolova > DUMB

К зашифрованным файлам добавляется расширение .encrypted

Активность этого криптовымогателя была в ноябре-декабре 2016 г., но судя по одному из ранних образцов, создан он был в июне этого же года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Предыдущая версия была недоработанной и называлась Runsome (Ransomeware). 
👮 Заметили ошибки? 
Да, именно так: одна ошибка на файле, другая в тексте требований. В словарь вымогателю заглянуть невдомёк. 

Запиской с требованием выкупа выступает экран блокировки


Содержание текста требований на экране:
Hello, I’m nice Jigsaw or more commonly known as Jigsaws twin.
Unfortunately all of your personal files (pictures, documents, etc...) have been encrypted by me, an evil computer virus know as 'Ransomeware'.
Now now, not to worry I'm going to let you restore them but only if you agree to stop downloading unsafe applications off the internet.
lf you continue to do so may end up with a virus way worse than me! You might even end up meeting my infamous brother Jigsaw :(
While you're at it, you can also read the small article below by Google’s security team on how to stay safe online.
Oh yeah I almost forgot! In order for me to decrypt your files you must read the two articles below, nonce you have click the "Get My Decryption Key" button.
Then enter in your decryption key and click the "Decrypt My Files" button.
Eventually all of your files will be decrypted :)
If the timer reaches zero then all of your personal files will be deleted because you were too lazy to read two articles.
So User do you want to play a game?

Перевод текста на русский язык:
Привет, я хороший Jigsaw или более известный как двойник Jigsaw.
К сожалению, все твои личные файлы (фото, документs и т.д...) были зашифрованы мною, злым компьютерным вирусом известным как 'Ransomeware'.
Но не беспокойся, я собираюсь позволить тебе восстановить их, но только если ты согласишься остановить загрузку небезопасных приложений из Интернета.
Если ты по-прежнему это делаешь, то можешь столкнуться с вирусом гораздо худшим, чем у меня! Ты мог бы даже в конечном итоге встретить моего брата - печально известного Jigsaw :(
Пока это не произошло, ты можешь прочитать небольшую статью ниже по безопасности от компании Google о том, как оставаться в безопасности в Интернете.
Ах да, чуть не забыл! Для того, чтобы я расшифровал твои файлы, ты должен прочитать две статьи ниже, а потом нажать кнопку "Get My Decryption Key".
Затем ввести ключ дешифрования и нажать кнопку "Decrypt My Files".
В конце концов, все твои файлы будут расшифрованы :)
Если таймер дойдёт до нуля, то все твои личные файлы будут удалены, потому что ты был слишком ленив, чтобы прочитать две статьи.
Так что, пользователь, хочешь сыграть?

Это не пустая угроза, файлы на самом деле удаляются. После того, как пользователь прочитает эти статьи, кнопки в блоке "Decriptazione" становятся активными и пользователь, нажав на них, может запустить процесс получения ключа и дешифровки файлов. 

После нажатия на кнопку "Decrypt My Files" Koolova подключится к C&C-серверу и получит ключ дешифрования. Потом отобразит его в диалоговом окне с заголовком "Nice Jigsaw": Sorry for the inconvenice. :)

После чего пользователь сможет использовать полученный ключ, чтобы ввести его в поле для расшифровки файлов.


Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифруются почти все файлы, остаются нетронутыми только важные системные файлы и файл вымогателя с требованиями о выкупе. 

Файлы, связанные с этим Ransomware:
Koolova_Ransomware.exe
Runsome.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***

Результаты анализов:
VirusTotal анализ >>
VirusTotal анализ v.2 >>
VirusTotal анализ v.1 >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (n/a)
 Write-up
 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *