Если вы не видите здесь изображений, то используйте VPN.

вторник, 10 января 2017 г.

Spora

Spora Ransomware

(шифровальщик-вымогатель) (первоисточник)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует перейти на специальный сайт в сети Tor, где выполнить инструкции по оплате выкупа, чтобы вернуть файлы. Название оригинальное. Более того шифровальщик Spora также имеет функционал продвинутого червя, о чём сразу подсказывало его название - спора (см. ниже, после вопросов и ответов, статью "Spora - не только шифровальщик..."). 

© Генеалогия: Spora. Начало.


This Spora's logo was developed on this site ID-Ransomware.RU

К зашифрованным файлам никакое расширение не добавляется. Файлы пользователя также не переименовываются. Но в будущем может использоваться любое расширение. 

Активность этого крипто-вымогателя пришлась на начало января 2017 г. Работа этой системы крипто-вымогательства очень напоминает работу Vault Ransomware. Уж не новое ли это пришествие Vault? Поживём — увидим. 

Мультиязычен, ориентирован пользователей, на ПК который установлен по умолчанию, один из следующих языков: русский, английский, что способствует распространять его по всему миру.
 
Записки с требованием выкупа называются:
USXXX-XXXXX-XXXXX-XXXXX.HTML
RUXXX-XXXXX-XXXXX-XXXXX.HTML
FRXXX-XXXXX-XXXXX-XXXXX.HTML

Их можно записать также как [VICTIM_ID]{4-9}.HTML

Расшифровка названия:
XXXXX - это английские заглавные буквы и 0.

US - начало кода для жертв из США;
RU - для России;
FR - для Франции и т.д.
{4-9} -  число групп в ID; сначала было 4, потом возросло до 8-9. 

Содержание записки о выкупе:
SPORA RANSOMWARE
Все Ваши рабочие и личные файлы были зашифрованы
Для восстановления информации, получения гарантий и поддержки, следуйте инструкции в личном кабинете.
Личный кабинет
xxxxs://spora.bz ›
USXXX-XXXXX-XXXXX-XXXXX
Что случилось?
1. Только мы можем восстановить Ваши файлы.
Ваши файлы были модифицированы при помощи алгоритма RSA-1024. Обратный процесс восстановления называется дешифрование. Для этого необходим Ваш уникальный ключ. Подобрать или "взломать" его невозможно.
2. Не обращайтесь к посредникам!
Все ключи восстановления хранятся только у нас, соответственно, если Вам кто-либо предложит восстановить информацию, в лучшем случае, он сперва купит ключ у нас, затем Вам продаст его с наценкой.
Если Вы не смогли найти Ваш ключ синхронизации
Нажмите здесь.


Технические детали

Примечательно, что Spora не использует каких-либо способов обхода UAC, вместо этого пытается запуститься несколько ряд подряд, из-за чего диалог UAC появляется несколько раз, пока пользователь не разрешит запуск. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Подтверждено использование набора эксплойтов RIG-V. Кроме того, замечено распространение дистрибутива на специальных форумах, в том числе русскоязычных. 

ВНИМАНИЕ!!! Вложение и скачанный файл из Интернета могут быть ЛЮБЫМИ, в том числе с "безобидным" расширением файла: текстовый файл, изображение, скан-документ, файл шрифта, видео-файл, аудио-файл, "особо важный файл" с кричащим заголовком (кликбейт). 
НИЧЕГО не открывайте!!!

Вложения в электронные письма могут быть названы по следующей схеме:
<special_phrase_in_English>.<random_chars_pdf>.hta
<специальная_фраза_на_русском>.<random_chars_pdf>.hta
<random>.hta
<random>.zip

Реальные примеры:
3fb2e50764dea9266ca8c20681a0e0bf60feaa34a52699cf2cf0c07d96a22553.hta
Скан-копия_10 января 2017г. Составлено и подписано главным бухгалтером. Экспорт из 1С.a01e743_рdf.hta
СЧТ. по заявке_КвитанцияDOC.zip
Счет-фактура_предоплата.zip

Пример письма с вложением:
Spora email-attachment

ВНИМАНИЕ!!! Зачастую письма от Spora-вымогателей содержат во вложениях ZIP-архивы, внутри которых находятся HTA-файлы. Но, т.к. HTA используется как добавочное расширение, то пользователь увидит не реальные файлы Имя-файла.PDF.HTA или Имя-файла.DOC.HTA, а Имя-файла.PDF или Имя-файла.DOC, и попытается открыть их. 

Подробнее...
На компьютерах, где включена опция "Скрывать расширения для зарегистрированных типов файлов" (включено во всех Windows по умолчанию) пользователи будут видеть только первое расширение и могут купиться на открытие файла. Запуск любого из таких файлов запускает Spora Ransomware на выполнение.

Когда  пользователь открывает вложенный HTA-файл (фактически HTA-загрузчик), чтобы просмотреть, в папку %Temp% извлекаются JavaScript-файл close.js и исполняемый файл со случайным именем, например, 81063163ded.exe. 

В файл close.js записывается зашифрованный JScript, который сразу выполняется (см. картинку):

JScript зашифровывается стандартными алгоритмами и CryptoJS, чтобы избежать обнаружения. Если его деобфусцировать, то можно увидеть длинную закодированную строку Base64, содержую исполняемый файл вредоноса. Цель скрипта в том, чтобы дешифровать указанную строку и поместить в папку %TEMP% файлы doc_6d518e.docx и 81063163ded.exe

После этого дроппер JScript попытается открыть и выполнить оба файла. Первый файл – это Word-документ, содержащий неотображаемые данные с сообщением об ошибке, причем хоть при открытии через WordPad, хоть при открытии в Word. Так "повреждённый" документ отвлекает пользователя от вредоносного HTA-файла. Второй файл является основным исполняемым файлом крипто-вымогателя Spora и начинает шифровать файлы на компьютере.

В отличие от многих современных криптовымогателей, Spora работает в автономном режиме и не генерирует никакого сетевого трафика.

После запуска процесса шифрования Spora Ransomware удаляет теневые копии файлов с помощью команды:
 cmd.exe /c vssadmin.exe delete shadows /all /quiet

Отключает работу Windows Startup Repair и изменяет BootStatusPolicy с помощью команд:
 bcdedit.exe /set {default} recoveryenabled no
 bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Полностью эта общая команда выглядит так:
cmd.exe /c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Вход на сайт вымогателей
 
После авторизации пострадавший видит этот личный кабинет, где все распределено и расписано. Создаётся впечатление, что столь налаженная вымогательская система возникла не на пустом месте, а была организована раньше. 

Работа сайта вымогателей в сети Tor
!!! На момент написания этой статьи (10 января!) не было ещё инструкции на сайте вымогателей и не было никакой другой статьи, ни на русском, ни на английском, где можно было почерпнуть информацию. Поэтому эта статья является САМЫМ ПЕРВЫМ опубликованным описанием этой вымогательской системы и этого крипто-вымогателя. 

1. После авторизации и входа в личный кабинет жертва должна выполнить синхронизацию, при которой будет синхронизирован ключ (файл ключа ***.KEY находится на рабочем столе). Нужно кликнуть на чёрную пиктограмму с пальцем и указать на ключ, если он не найден автоматически. После синхронизации жертва получает уникальный сгенерированный только для неё кошелек, на который должны поступить средства, т.е. должны быть зачислены на баланс. Затем на эти средства нужно будет купить дешифратор.
Spora синхронизация

2. Номер кошелька жертва может получить только зайдя на страницу оплаты. Там же будет калькулятор, если кто-то захочет сделать пробный платеж на мелкую сумму.

3. Чтобы восстановить данные, пострадавшей стороне сначала нужно пополнить свой баланс на необходимую сумму. Рекомендуется производить пополнение мелкими частями для того, чтобы видеть, что все исправно доходит. 

4. Пока из доступных методов только Bitcoin. Покупка их осуществляется через обменники. Список прилагается. 
xxxxs://kassa.cc
xxxxs://i-obmen.biz
xxxxs://xchange.cc
xxxxs://receive-money.biz
xxxxs://wmglobus.com
На каждом сайте есть поддержка и детальные инструкции как купить Bitcoin. Баланс можно пополнить только при помощи Bitcoin. В получатели нужно указать тот адрес, который Вам выдала система. 

5. Все общение происходит через чат поддержки. В чате можно общаться с другими пользователями, а также получать ответы от администрации ресурса. Если есть какие-либо другие вопросы или проблемы, предлагают писать на почту: admin@spora.bz

6. Стоимость выкупа не пересматривается. Операторы никак не могут её изменить. Сумма за полное восстановление и отдельные покупки выставляется системой, которая сама определяет важность информации и её количество. Это отображается в окне личного кабинета каждой жертвы.
После загрузки файла .KEY в платежную сайт Spora, сумма выкупа рассчитывается в зависимости от количества зашифрованных файлов. Чем больше офисных документов, PDF и графических файлов, тем выше сумма выкупа. 

7. Для восстановления всех файлов достаточно покупки Полного восстановления (кн. "Полное") за указанную сумму. Остальные утилиты покупаются по отдельности.

8. После пополнения баланса нужно нажать в разделе "Мои покупки" на кнопку "Полное". После покупки полного восстановления нажать повторно на эту кнопку для загрузки купленного. Инструкцию по восстановлению см. ниже.

Описание элементов Кабинета на русском языке
FULL RESTORE / ПОЛНОЕ 79$
Данный товар позволяет полностью восстановить систему. После дедлайна стоимость повысится до 110$
IMMUNITY / ИММУНИТЕТ 50$
Данный товар позволяет установить иммунитет от вредоноса на систему.
После установки такого иммунитета можно лицезреть следующее окно.
REMOVAL / ОЧИСТКА 20$
Данный товар позволяет полностью очистить систему от вредоноса (от его рабочих файлов, баннеров, файлов в автозагрузке). Рекомендуется использовать после полного восстановления. Если Вы можете почистить всё сами, тогда Вам не нужна эта утилита.
FILE RESTORE / ПЛАТН.ФАЙЛ 30$
100% восстановит Ваш файл. Макс размер - 25 МБ.
FILE RESTORE /  БЕСПЛ.ФАЙЛ 2 FREE
Бесплатная расшифровка 1-2-3 файлов, у всех по-разному. 
Надпись "FILE WAS REJECTED" означает, что файл отклонен системой, так как является важным. 
Для тестовой расшифровки принимаются только простые файлы, такие как картинки, PDF и т.д. небольшого размера. Если Вам нужно протестировать более существенный файл (например большой отчет XLS или базу данных), тогда придётся купить за 30 USD платный файл.
Расшифрованный таким образом файл, например, Опись_для_ИФНС.odt, потом можно будет загрузить из кабинета. На картинке он помечен красной стрелкой. 

Подсказка: Для восстановления всех файлов, Вам достаточно покупки Полного восстановления за 79 USD. Остальные утилиты покупаются по желанию.
ВЫБРАТЬ .KEY
Данный файл Вы можете найти на рабочем столе Вашего компьютера, либо нажмите кнопку Синхронизация на баннере. 

Стоимость полного восстановления, отдельных покупок и число файлов для бесплатной расшифровки для каждого компьютера различаются!!!
Spora примеры выкупов

Инструкция по восстановлению от техподдержки вымогателей:
Процедура восстановления следующая:
1. Вы пополнили счет на необходимую сумму.
2. Купили Полное восстановление.
3. Вам предложит загрузить ZIP-архив. В нем найдете Ваш уникальный ключ и программу-дешифратор.
4. Для полного восстановления достаточно только дешифратора из архива. Извлеките его из архива и запустите в любом месте.
5. Начнется процесс восстановления. В этот момент просьба не открывать документы. Дождитесь окончания.
6. После успешного восстановления настройте резервное копирование файлов.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .accdb, .backup, .cd, .cdr, .dbf, .doc, .docx, .dwg, .jpeg, .jpg, .mdb, .odt, .pdf, .psd, .rar, .rtf, .sqlite, .tiff, .xls, .xlsx, .zip (23 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов, архивы и пр. Как видите, в описанной здесь версии набор целевых файлов небольшой, но даже при таком раскладе пользователям может быть нанесён большой урон.

Пропускаются и не шифруются файлы в следующих папках:
Games
Program files
Program files (x86)
Windows

Подробности шифрования
  Spora использует Windows CryptoAPI и сочетание RSA и AES для шифрования данных. Вначале Spora импортирует из исполняемого файла вредоноса открытый ключ RSA, затем создает новую 1024-битную пару RSA-ключей, состоящую из закрытого и открытого ключей. Также генерируется новый 256-битный AES ключ для шифрования секретного RSA-ключа жертвы. После шифрования секретного RSA-ключа AES-ключ уже сам шифруется с помощью открытого RSA-ключа. Зашифрованный ключ вместе с некоторой дополнительной информацией затем сохраняется в файле .KEY.
Spora Незашифрованное содержание файла .KEY
Незашифрованное содержание файла .KEY 

  Чтобы зашифровать документ или файл в системе, Spora сначала генерирует новый 256-битный AES-ключ для каждого файла. Этот ключ служит для шифрования первых 5 МБ каждого файла. Затем шифруется ключ для каждого файла с помощью открытого сгенерированного RSA-ключа жертвы и добавляется к зашифрованному файлу.

  Эта на первый взгляд запутанная процедура позволяет выполнять шифрование без специального C&C-сервера и без подключения к Интернету. Эта незаметность в системе позволяет также незаметно причинить вред прежде, чем жертва что-то заметит. 

Файлы, связанные с этим Ransomware:
%UserProfile%\Desktop\[VICTIM_ID].HTML
%UserProfile%\Desktop\[VICTIM_ID].KEY
%UserProfile%\AppData\Roaming\[VICTIM_ID].HTML
%UserProfile%\AppData\Roaming\[VICTIM_ID].KEY
%UserProfile%\AppData\Roaming\[VICTIM_ID].LST - список зашифрованных файлов
%UserProfile%\AppData\Roaming\Microsoft\Windows\Templates\[VICTIM_ID].HTML
%UserProfile%\AppData\Roaming\Microsoft\Windows\Templates\[VICTIM_ID].KEY
%UserProfile%\AppData\Roaming\Microsoft\Windows\Templates\[VICTIM_ID].LST - список зашифрованных файлов
<random>.exe, например, 81063163ded.exe в %UserProfile%\AppData\Local\Temp\
<random>.js, например, close.js в %UserProfile%\AppData\Local\Temp\
<random>.lnk -  в \Temp\, в корне диска C, на USB-накопителях и других съёмных дисках
<random>.tmp -  в \Temp\
<random>.temp -  в \Temp\
doc_<random_chars>.docx
<special_phrase_in_English>.<random_chars_pdf>.hta
<special_phrase_in_English>.<random_chars_doc>.hta
<специальная_фраза_на_русском>.<random_chars_pdf>.hta
<специальная_фраза_на_русском>.<random_chars_doc>.hta
<random>.hta
Chrome_Font.exe или Chrome Font.exe - фальшивый файл шрифта, устанавливающий шифровальщик во вредоносных кампаниях с EITest и неким шрифтом HoeflerText;
и другие. 

ВНИМАНИЕ!!! Spora использует трюк с поддельным установщиком шрифтов. Установка вредоноса под видом шрифта — это давний излюбленный приём злоумышленников. Нельзя принимать на компьютер шрифты с ехе-расширениями и другими нетипичными для шрифтов. И даже в типичных случаях, если вы загрузили внешне легитимный файл шрифта с какого-то сайта, необходима тщательная проверка файла своим антивирусом и на сайтах онлайн-анализа. Только при 100% положительном результате используйте шрифт на своем компьютере. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
По данным геолокации центр вымогателей на момент написания статьи находился в г. Ростов (Ярославская область, Россия) или где-то рядом. 
xxxxs://ddos-guard.net (190.115.26.90) - адрес провайдера
xxxxs://spora.bz (186.2.161.51) 
xxxxs://spora.store (186.2.163.47)
xxxxs://spora.one (186.2.163.47)
xxxxs://spora.biz (186.2.163.47)
xxxxs://spora.ht (186.2.163.47)
xxxxs://spora.hk (186.2.163.47)
xxxxs://spora.ch (186.2.163.47)
xxxxs://spora.cc (186.2.163.47)
xxxxs://spora.la (186.2.163.47)
xxxxs://spora.li (186.2.163.47)
fredomasearchdsd.top (93.158.215.169) – RIG-V EK
admin@spora.bz
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>  Ещё >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Symantec Ransom.Spora >>

Обновление от 15 января 2017:
На сайте вымогателей, управляющих Spora Ransomware появилось руководство, которое скрыто за следующим изображением:
Привожу скриншоты всего текста и текст полностью. 

Текст полностью на 16 января 2017 г.

Процедура восстановления компьютера (45C***)
Шаг I. Вам Необходимо пополнить счет на сумму, равную Полному восстановлению, для этого:
- Пополнение счета возможно только при помощи Bitcoin, ролик о Bitcoin
- Сперва, Вам необходимо синхронизироваться: 1) Для этого, откройте стартовую HTML страницу где написано, что Ваши данные зашифрованы. На рабочем столе или просто перезагрузите компьютер; 2) В самом низу страницы есть кнопка, позволяющая провести синхронизацию, нажмите на неё.
- Затем, в личном кабинете перейдите в раздел оплаты: а) Справа вверху кнопка "Пополнить" б) Внизу, раздел "Методы оплаты", нажмите на желтую иконку BitCoin. Для Вас сгенерируется уникальный BitCoin адрес. Все средства, которые на него поступают, будут автоматически зачисляться на Ваш счет.
- Вы синхронизировали аккаунт и Вы получили свой Bitcoin адрес (в разделе "Пополнения счета"), куда необходимо положить средства.
- Пополнить данный адрес Bitcoin можно в основном через авторитетных посредников (которые покупают у бирж и зарабатывают на небольшой разнице).
- Онлайн-обменники работают очень давно и имеют достойную многолетнюю репутацию. Основная концепция обмена стандартная: Ваши средства (RUB) -> Обменник (BTC) -> Ваш Bitcoin кошелек
- Обменник, чаще всего, дает Вам личную карту для пополнения. После получения средств, они отправляют точную сумму Bitcoin на указанный Вами адрес.
- Список рекомендуемых обменников: 
• https://kassa.cc
• https://i-obmen.biz
• https://xchange.cc
• https://receive-money.biz
• https://wmglobus.com
• https://x-pay.cc
• Вам ничего не стоит зайти на "рейтинг обменников" с тысячами отзывами - https://www.bestchange.ru и выбрать себе альтернативный обменник.
- Если у Вас есть сложности в процессе обмена, или все слишком сложно на сайте. В таком случае Вам стоит связаться с поддержкой обменника. На каждом из них есть онлайн чат или мобильный телефон. Скажите им, что Вам необходимо купить себе Bitcoin (адрес получателя тот, который выдала наша система). Они Вас проконсультируют и объяснят пошагово, как у них провести транзакцию. Если у Вас все равно что-то не получается, попросите помощи у знающего специалиста в Вашем регионе.
Внимание (!), если обменник проводит операции быстро, мы Вам рекомендуем провести минимальную транзакцию, что бы увидеть, что наша система получит их. После этого, можете пополнять остаток. У нас на странице "Пополнения счета" есть калькулятор, по которому Вы поймете, сколько Вам необходимо Bitcoin
Шаг II.
- После того, как Ваш счет пополнен, в разделе "Мои покупки" выбираете ПОЛНОЕ.
- После покупки, повторите нажатие на иконку ПОЛНОЕ. Вам предложит сохранить утилиту восстановления (архив .ZIP)
- Внутри архива у Вы найдете Ваш уникальный ключ (.key) и утилиту восстановления (.exe).
- Распаковываете в любое место (на зараженном компьютере) программу полного восстановления и запускаете.
- После недлительного процесса, все данные будут расшифрованы.

Процедура получения гарантий (перед оплатой)
Шаг I. Вам необходимо получить гарантии того, что у нас есть возможность восстановить данные и Вас не обманут, для этого:
- Сперва, Вам необходимо синхронизироваться: 1) Для этого, откройте стартовую HTML страницу где написано, что Ваши данные зашифрованы. На рабочем столе или просто перезагрузите компьютер; 2) В самом низу страницы есть кнопка, позволяющая провести синхронизацию, нажмите на неё.
- Затем, на компьютере, с которого Вы выполнили вход в личный кабинет, найдите несколько не особо важных файлов.
- С точки зрения структуры бинарных файлов (как клетки человека), не имеет значения, будет это картинка, PDF или база данных, шифруются и расшифровываются они одинаково. Поэтому мы берем то, что система не отклонит из-за "ценности" документа. Берите картинку или PDF.
- В разделе "Мои покупки", крайняя правая иконка "БЕСПЛ.ФАЙЛ". Нажимаем, выбираем картинку или PDF (в крайнем случае, очень маленький .doc). Теперь ожидайте, когда файл загрузится и страница обновится, не предпринимайте никаких действий до этого.
- Вы должны увидеть в "Моих покупках" расшифрованный документ. Скачайте и получите гарантию возможности восстановления (если у Вас возникли трудности, см. "Вопрос-ответ" ниже)
- Затем, зайдите в раздел "Пополнение счета", внизу у Вас будет Letter Of Guarantee (Письмо Гарантий), которое было подписано нашим основным счетом 1SporaxoosUPYPEizY46t8yquLfzyABRm. Письмо гарантий - это доказательство наших обязательств. Цифровая подпись в IT сфере = печати компании. Наша печать - уникальный именной Bitcoin адрес 1Spora. Проверить, что письмо действительно было выпущено нами, Вы можете на сайте:
• https://bitcoin.com
Таким образом, если каким-то образом не будут на Ваш счет зачислены средства - Вы можете предъявить нам или в интернете наше письмо обязательств. Вы получили вторую гарантию.
Шаг II. Если Вы хотите иметь 100% гарантии восстановления, например, весомого XLS документа, для этого:
- Следуя инструкции Пополнения счета, добавьте на Ваш счет 30$
- Теперь Вы можете произвести покупку восстановления одного файла = раздел "Мои покупки", кнопка "ПЛАТН.ФАЙЛ".
- По аналогии с "БЕСПЛ.ФАЙЛ", данная функция 100% подтвердит Ваш файл - нет ограничений на ценность документа. Поэтому выбирайте документ для восстановления с умом: при выборе файла, с Вашего баланса спишутся 30 долларов и документ восстановится. Если документ не будет восстановлен, средства не спишутся.
Шаг III. Представим, что мы решили вас одурачить, ответьте себе на следующие вопросы:
- Создавали бы мы столь автоматизированную систему? Нет
- Появились бы на форумах злые комментарии обманутых? Да
- Писали бы авторитетные новостные ресурсы о нас? Нет
Теперь, Вы получаете другие гарантии, подтвержденные авторитетными ресурсами.
• Forbes
• Kaspersky
• Emsisoft
• Bleepingcomputer
• Twitter

Вопросы и ответы
Вопрос:
Добрый день! Получилось восстановить тестово только один файл, на остальные файлы говорит очень важный, либо ошибка расшифровки. В чем причина?
Ответ:
«1. Если выдает ошибку Файл очень важный - это означает, что данный файл БЫЛ успешно расшифрован, затем система проанализировала содержимое (к примеру, там много таблиц) и отклонила файл. Так как для теста достаточно увидеть Вам возможность восстановление любого файла, а не того, который Вам нужен в текущий момент. 2. Если выдает ошибку Ошибка расшифровки - проверьте не один ли у Вас компьютер, не общая ли папка это. Возможно, что данный файл был зашифрован другим компьютером.»
Вопрос:
4 компьютера пользуются одной сетевой папкой с этого компьютера. И что, надо платить за каждый компьютер? Нам только сетевая папка нужна.
Ответ:
«1. Зайдите в четыре кабинета; 2. Синхронизируйте каждый; 3. Путем подбора, тестово восстановите картинку или пдф с общей папки; 4. Тот, который восстановит файл и будет тем самым первым компьютером, который заразил всю сеть; 5. С него и начинайте восстановление»
Вопрос:
Как быстро обновляется баланс? Внес часть суммы для покупки полного лечения, но балланс пока пустой. Прошу проверить.
Ответ:
«Скорее всего, обменник отправил средства нам совсем недавно - еще транзакция не была подтверждена сетью. Подтверждение сетью происходит, чаще всего, до 20-ти минут. Системе необходимо 1 подтверждение.»


Руководство по синхронизации

Для чего нужна синхронизация?
- Без синхронизации восстановление файлов невозможно
- Без синхронизации, также, невозможно тестовое восстановление
- Без синхронизации невозможно отправить средства на Ваш аккаунт

Вариант I. Для синхронизации, откройте стартовую HTML страницу где написано, что Ваши данные зашифрованы и НАЖМИТЕ НА КНОПКУ (в самом низу) АВТОРИЗАЦИЯ.

Как получить доступ к стартовой странице: а) Перезагрузите компьютер. Страница сама откроется; б) Найдите в папке %APPDATA% или в корне дисков файл *.HTML.

Вариант II. Если Вы желаете, можете синхронизировать аккаунт через Ваш личный кабинет. Для этого, в самом правом верхнем углу (красное поле), нажмите для выбора файла. Найдите файл *.KEY в папке %APPDATA% и загрузите в личный кабинет
В дополнении, если у Вас имеются вопросы, проверьте страницу помощи на главной. 

Когда Ваш аккаунт синхронизирован, Вы можете пополнять счет, отправлять сообщения и совершать покупки. Полностью восстановить компьютер.

Spora — не только шифровальщик, но и продвинутый червь!!!


Как уже знают читатели этого блога, ZCryptor Ransomware считается смесью вымогателя и червя из-за использования им файла autorun.inf. Но, как показало исследование, Spora идёт впереди на несколько шагов, используя те же методы, что вредоносы Gamarue и Dinihou. Хитрость заключается в том, что Gamarue, Dinihou и теперь Spora используют ярлыки Windows (.LNK файлы) вместо autorun.inf.

Spora добавляет скрытый атрибут к файлам и папкам на рабочем столе, в корне системного диска и съемных дисков. Эти скрытые файлы и папки, с помощью стандартных вариантов папок не видно. Spora затем помещает ярлыки Windows с тем же именем и значком в виде скрытых файлов и папок в качестве видимой замены. Эти файлы .LNK открывают исходный файл, чтобы не вызвать подозрений и одновременно выполнить вредоносный код. Пример: папка C:\Windows будет скрыта, а файл с именем C:\Windows.lnk будет создан; он выглядит точно так же, как исходная папка, если в Windows установлены стандартные параметры папки.

Файлы .LNK используют следующую команду для выполнения червя и открывают исходный файл. Если исходный файл находится в папке, то он откроется проводником Windows, чтобы показать его содержимое:

/c explorer.exe "<originalfile>" & type "<worm>" > "%%tmp%%\<worm>" & start "<originalfile>" "%%tmp%%\<worm>"

Червь копирует себя как скрытый файл вместе с файлами .LNK, его имя файла генерируется путем вычисления CRC32 контрольной суммы для VolumeSerialNumber. Результат помещается в шаблон % %08x-%04x-%04x-%02x%02x-%02x%02x%02x%02 (см. адрес 0x405492). Это означает, что имя у файла вредоноса может быть, например, a277a133-ecde-c0f5-1591-ab36e22428bb.exe.

Червь удаляет значение реестра HKCR\lnkfile\IsShortCut с эффектом, когда значки быстрого доступа не показывают характерную изогнутую стрелку в левом нижнем углу, который был бы характерным знаком пользователю, что что-то не так в системе.

Простая навигация по папкам на вашей системе и на рабочем столе с помощью двойного щелчка запустит червя. Используя эту стратегию, он будет не только распространяться на съемных носителях и USB флэш-накопителях, но будет также шифровать вновь созданные файлы в системе. Это делает систему неработоспособной для хранения или создания любых изображений или документов, пока ПК не будет вылечен. 


Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 16 января 2017:
Результаты анализов: HAVT, HA + VT
Содержание записки немного изменилось в конце. 
Вместо текста:
Если Вы не смогли найти Ваш ключ синхронизации
Нажмите здесь.
Теперь текст:
Если Вы не смогли синхронизировать аккаунт (*.KEY), нажмите здесь:
·СИНХРОНИЗАЦИЯ·


Обновление от 17 января 2017:
Фальш-имя: FileSpy Application
Email: vitali2001by@yahoo.co.uk
Результаты анализов: HA+VT

Общее обновление (январь-февраль):
1) С выходом на иностранного клиента изменились ключи от формата [VICTIM_ID]{4}.HTML до [VICTIM_ID]{9}.HTML
2) Вместо прежних записок в формате HTML после перезагрузки ПК при подключенном Интернете у жертв стали открываться сайт платежного портала вымогателей с ID жертвы. 

Обновление от 13 марта 2017:
Новый сайт: xxxx://torifyme.com
Уже не работает. 

Обновление от 19 июля 2017:
Повреждает файлы, используя CRC32 и AES-ключ. 
Оставляет как записку файл HELP_lJcD8Eh9.html, содержащий в коде ссылку на открытие сайта xxxx://190.115.19.234, скриншот которого с IIS7 перед вами. 
Результат на сайте ID-Ransomware



Обновление от 15 августа 2017:
Пост в Твиттере >>
Записка: README_%s.hta
Tor: xxxx://5pr6hirtlfan3j76.onion
Сумма выкупа: 0.2-0.5 BTC
Результаты анализов: HA+VT+Malwr + VT
<< Скриншот записки


 


Обновление от 23 августа

Шаблон записки: README_<8_chars_ID>.hta
Пример: README_sTlLoTpq.hta
README_GfkLoUgp.hta
Результаты анализов: HA+VT
Расположение: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\README_<8_chars_ID>.hta
Email: spora.help@gmail.com
xxxx://5pr6hirtlfan3j76.onion/
xxxx://5pr6hirtlfan3j76.onion:8123
xxxx://5pr6hirtlfan3j76.onion/?0.276330635235008
<< Скриншот страницы сайта (почему-то скривился). 

Оригинальный текст следующий:
Необходима авторизация
Для восстановления информации, получения гарантий и поддержки, следуйте инструкции в личном кабинете.
SPORA RANSOMWARE
Нажмите здесь для выбора зашифрованного файла
Проблемы со входом? Напишите нам › spora.help@gmail.com
I. Сайт может работать с задержками.
Для авторизациии, Вам необходимо выбрать и загрузить заблокированный документ
II. Вы - анонимны, мы не знаем, кто Вы и откуда. Документы мы не просматриваем.
После покупки, Вся информация о Вас автоматически удаляется через 7 дней
III. Полиция, Антивирусные лаборатории, IT-специалисты Вам не помогут.
Мы работаем не первый год - все знают нас и то, что данные мы восстанавливаем

Так называемые "реквизиты": 
BTC: 1SporaxoosUPYPEizY46t8yquLfzyABRm
Баланс https://blockchain.info/address/1SporaxoosUPYPEizY46t8yquLfzyABRm
 
Скриншот нового файла, сообщающего жертве о проблеме подключения или загрузки, с просьбой связаться с поддержкой spora.help@gmail.com
После обращений в их "поддержку" жертва получает требование о выплате выкупа в $500-1000. Пострадавшие в комментариях ниже сообщают также о "разводе" на деньги: заплатили, а расшифровку не получили. 

Обновление от...


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links / Связи
 Tweet on Twitter
 ID Ransomware (ID as Spora)
 Topic on BleepingComputer
 Topic on KasperskyClub
Added later / Добавлено позже
Write-up on BleepingComputer (add. January 11, 2017 )
Write-up on Emsisoft (add. January 11, 2017)
Write-up on GDATA (add. January 18, 2017) 
Video review by GrujaRS (add. January 18, 2017) 

 Thanks / Благодарности
 MalwareHunterTeam, xXToffeeXx
 Michael Gillespie, Fabian Wosar
 al1963, thyrex
 ...and all others who are engaged in this issue
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 8 января 2017 г.

Nemesis

Nemesis Ransomware

Nemesis NextGen Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные серверов с помощью AES, а затем требует выкуп в 10 или больше биткоинов, чтобы вернуть файлы. Сумма выкупа определяется автоматически. Название оригинальное, указано в записке о выкупе. Разработчик: Nemesis Team. 

© Генеалогия: X3M ⟺ Nemesis ⟺ СryptON 

Все они делаются, видимо, одной командой разработчиков-вымогателей, но используются для разных целей. Для атаки на серверы компаний используется Nemesis и другие их крипто-вымогатели, а семейство X3M и СryptON — для атак на пользователей и на то, что ещё удастся взломать с помощью RDP, в том числе и серверы.  

К зашифрованным файлам добавляется расширение .v8dp или .63vc4 или любое другое случайное из 4-х или 5-ти знаков. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ***

Содержание записки о выкупе:
ALL YOUR IMPORTANT FILES ARE ENCRYPTED
Your documents, photos, databases and other important fíles have been encrypted! To decrypt your files you need to buy the special software - «Nemesis decrypt»
To obtain decryptor, please, contact me by email: nemesis-decryptor@india.com
********************OR******************
Write me in online Service: https://bitmsg.me
Address: BM-2cVcW2PHuo8HsWtmoY3oFPcU76bqJ*****
Your personál identification ID: id-8932*****

Перевод записки на русский язык:
Все ваши важные файлы зашифрованы
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы! Для расшифровки файлов вам надо приобрести специальную программу - «Nemesis decrypt»
Для получения декриптора, пожалуйста, свяжитесь со мной, по email: nemesis-decryptor@india.com
********************ИЛИ******************
Напиши мне в онлайн-сервис: https://bitmsg.me
Адрес: BM-2cVcW2PHuo8HsWtmoY3oFPcU76bqJ*****
Ваш персональный идентификационный ID: id-8932*****



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, серверные файлы, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
<random>.tmp.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
nemesis-decryptor@india.com
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >>
Intezer анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

X3M Ransomware
Nemesis Ransomware
СryptON Ransomware

другие варианты семейства



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 17 апреля 2017:
Пост в Твиттере >>
Видеообзор от GrujaRS >>
Записка: ### DECRYPT MY FILES ###.html
Расширение: .id-1969330990_[qg6m5wo7h3id55ym.onion.to].63vc4
Пример зашифрованного файла: file_name.doc.id-1969330990_[qg6m5wo7h3id55ym.onion.to].63vc4
Скриншоты записки и Tor-сайта вымогателей: 



Обновление от 8 августа 2017:
Расширение: .nemesis
Tor: xxxx://tptbibuegry2nvuh.onion
xxxxs://tptbibuegry2nvuh.onion.to
xxxxs://tptbibuegry2nvuh.onion.cab
xxxxs://tptbibuegry2nvuh.hiddenservice.net
Email: macgregor@aolonline.top
Topic of Support >>
 
Записка о выкупе (реконструкция)
Оригинальный Tor-сайт вымогателей




Обновление от 10 июля 2019:
Пост в Твиттере >>
Расширение: .YOUR_LAST_CHANCE
Составное расширение: .id_XXXXXXXXXX_.YOUR_LAST_CHANCE
Пример расширения: .id_1622540890_.YOUR_LAST_CHANCE
Записка: _RESTORE FILES_.txt
Email: your_last_chance_help@protonmail.com, your_last_chance_help@elude.in, yourlastchancehelp@cock.li
Файл EXE: lock.exe
Описание: Olympic Destroyer destructive malware
Результаты анализов: VT + HA + VMR

Обновление от 9 августа 2019:
Пост в Твиттере >>
Расширение: .WECANHELP
Составное расширение: .id_XXXXXXXXXX_.WECANHELP
Пример расширения: .id_1535420788_.WECANHELP
Записка: _RESTORE FILES_.txt
Email: wecanhelpyou@elude.in, w3canh3lpy0u@cock.li, wecanh3lpyou2@cock.li
Jabber: icanhelp@xmpp.jp
Результаты анализов: VT + HA + VMR
➤ Содержание записки:
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software - "Nemesis decryptor"
You can find out the details/buy decryptor + key/ask questions by email: wecanhelpyou@elude.in, w3canh3lpy0u@cock.li, wecanh3lpyou2@cock.li
IMPORTANT!
DON'T TRY TO RESTORE YOU FILES BY YOUR SELF, YOU CAN DAMAGE FILES!
If within 24 hours you did not receive an answer by email, be sure to write to Jabber: icanhelp@xmpp.jp
Your personal ID: 1535420788






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Публичного дешифратора никто не выпускал. 
Но файлы некоторых версий можно дешифровать!
Обращайтесь к Emmanuel_ADC-Soft в Твиттере или на форуме >>
Он проверит возможность дешифровки и сообщит подробности.
 Read to links: 
 Topic on BC
 ID Ransomware
 Write-up
 *
 Thanks: 
 BleepingComputer, Michael Gillespie
 Emmanuel_ADC-Soft
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 7 января 2017 г.

Evil

Evil Ransomware

File0Locked KZ Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться по email и прислать UID, чтобы вернуть файлы. Название оригинальное, указано в записке, а по PDB-файлу название - AESCrypt. Второе название в заголовке статьи дано по использованному расширению и домену KZ (Казахстан). 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .file0locked

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
HOW_TO_DECRYPT_YOUR_FILES.TXT
HOW_TO_DECRYPT_YOUR_FILES.HTML

Содержание записки о выкупе:
Hello. 
Your UID: 3DF586F6
Its evil ransomware. As you can see some of your files have been encrypted!
Encryption was made using a unique strongest AES key.
If you want restore your files you need to BUY (sorry, nothing personal, its just business) the private key, send me your UID to r6789986@mail.kz 

Перевод записки на русский язык:
Привет.
Ваш UID: 3DF586F6
Это evil ransomware. Как вы могли заметить ваши файлы зашифрованы!
Шифрование сделано с помощью уникального сильнейший AES ключа.
Если хотите восстановить файлы вам нужно купить (извините, ничего личного, это только бизнес) частный ключ, пришлите мне ваш UID на r6789986@mail.kz

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (в данном случае это JavaScript-файл), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Перед шифрование проверяет наличие в системе отладчиков и работу на виртуалке. 

Удаляет все файлы с расширениями .exe и .jse из директорий: 
%Temp%
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup

Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .certs, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .dwg, .dxf, .dxg, .eps, .erf, .img, .indd, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .psd, .pst, .ptx, .pub, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .wb2, .wpd, .wps, .x3f, .xlk, .xls (65 расширений). 

В коде было указано некое некорректное расширение: img_.jpg, которое я разделил на .img и .jpg.

Это некоторые документы MS Office, OpenOffice, RTF, текстовые файлы, файлы сертификатов, фотографии, файлы образов и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_YOUR_FILES.TXT
HOW_TO_DECRYPT_YOUR_FILES.HTML
<random>.exe
<random>.tmp
<random>.yum
file0locked.js
background.png

Расположение: 
%SystemDrive%\Documents and Settings\All Users\Desktop\HOW_TO_DECRYPT_YOUR_FILES.HTML - записка о выкупе
%User%/AppData/Local/Temp/list.txt - список зашифрованных файлов
%TEMP%\54.yum
C:\VxStream\002.jse


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Много, см. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>   Ещё >> 
Symantec Ransom.Evil >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Twitter
 ID Ransomware (ID as Evil)
 Write-up (n/a)
  Thanks: 
  Michael Gillespie
  Jiri Kropac
  Thyrex
  *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Ocelot Locker

Ocelot Ransomware

Ocelot Locker Ransomware 

(фейк-шифровальщик)


Этот крипто-вымогатель пишет, что якобы шифрует данные пользователей, а затем требует выкуп в 0,03 биткоинов, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

Нет зашифрованных файлов, потому что шифрование не производится. 
Но не обольщайтесь! 
Во-первых, эта пугалка небезвредна, как и любая другая! 
Во-вторых, с пострадавшей стороны всё же требуется выкуп!
В-третьих, это фейк-шифровальщик, потому тоже вредонос. 

Активность этого крипто-вымогателя пришлась на начало января 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 
 

Содержание текста о выкупе:
1. экран с загловком Ocelot Locker
YOUR FILES HAVE BEEN ENCRYPTED
All your personal documents, videos, mp3 files, images, or any other files have been encrypted with a military grade encryption key. The key has been stored on our server. For you to get this key you will have to pay 0.03 BTC (25 USD) and the key will be given to you

2. экран с заголовком Ocelot Ransomware
This could have been real
This could have been a real attack! Don't let Ransomware fool you into paying!
Prevention is better than desinfection!
Go ahead and download RansomFree, MalwareBytes or any antivirus for that matter.
Helpfull Links:
xxxxs://www.avast.com/c-ransomware
xxxxs://ransomfree.cybereason.com
xxxxs://www.malwarebytes.com
And just remember, prevention is better than desinfection.

Перевод текста на русский язык:
1. экран с заголовком Ocelot Locker
Ваши файлы зашифрованы
Все ваши личные документы, видео, mp3-файлы, изображения или любые другие файлы, были зашифрованы с помощью ключа шифрования военного класса. Ключ был сохранен на нашем сервере. Чтобы получить этот ключ, вам придется заплатить 0,03 BTC ($25 США) и ключ будет вам выдан.

2. экран с заголовком Ocelot Ransomware
Это могло быть в реале
Это могло быть реальной атакой! Не позволяйте вымогателям вынудить вас платить!
Профилактика лучше дезинфекции!
Идем дальше и качаем RansomFree, Malwarebytes или другой антивирус по такому делу.
Полезные Ссылки:
xxxxs://www.avast.com/c-ransomware
xxxxs://ransomfree.cybereason.com
xxxxs://www.malwarebytes.com
И помните, профилактика лучше, чем дезинфекция.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Нет файлов, которые шифруются в этой версии. 

Это при реальной атаке это могут быть в первую очередь: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео и пр.

Файлы, связанные с этим Ransomware:
ocelot.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 6 января 2017 г.

SkyName

SkyName Ransomware

Blablabla Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель пишет. что якобы шифрует данные пользователей с помощью AES, а затем требует послать 1000 крон на биткоин-адрес, чтобы получить ключ дешифрования, дешифровщик и вернуть файлы. Название оригинальное, другое: blablabla (указано в файле).

© Генеалогия: HiddenTear >> SkyName

Функция шифрования отключена или пока не работает. 

Активность этого крипто-вымогателя пришлась на начало января 2017 г. Ориентирован на чешскоязычных пользователей, что не мешает распространять его по Интернету.

Записка с требованием выкупа называется: INFOK1.txt

Текст записки также дублируется в экране блокировки. 

Содержание записки о выкупе:
Vas pocitac byl hacknut a vaše soubory zašifrovaný tak, abyste k nim nemel i přistup!
Pošlete 1000 korun v bitcoinech na adresu
18DHHw4ko23HNm5GRXVZM7XLeFXX2sgSPj
a pote si napište e-mail na adresu:
jschweiz@protonmail.ch, do e - mailu uvedte id:
*****
a dostanete desifrovaci klic a program, kterým soubory zase odemknete.
Tato zprava je dostupná na plose v souboru INFOK1.txt

Перевод записки на русский язык:
Ваш компьютер был хакнут и ваши файлы зашифрованы, так что вы не имеете к ним доступ!
Пошлите 1000 крон на Bitcoin-адрес
18DHHw4ko23HNm5GRXVZM7XLeFXX2sgSPj
А потом напишите письмо на email-адрес:
jschweiz@protonmail.ch и укажите ваш ID:
*****
И получите ключ дешифрования и программу, которая файлы разблокирует.
Отчёт доступен на рабочем столе в файле INFOK1.txt

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Нет файлов, которые шифруются в этой версии. Но при реализации функции шифрования это могут быть в первую очередь: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео и пр.

Файлы, связанные с этим Ransomware:
\Desktop\INFOK1.txt
blablabla.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://maneo-inc.tk/blablabla/send.php?i=
jschweiz@protonmail.chСм. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 MalwareHunterTeam
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 5 января 2017 г.

MafiaWare

MafiaWare Ransomware

Depsex Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $155 на биткоин-адрес, чтобы вернуть файлы. Оригинальное название: mafiaware. Другое: depsex (в записке о выкупе). Написан на Python. Разработчик: MAFIA MALWARE INDONESIA. Страна: Индонезия. 

© Генеалогия: HiddenTear modified >> MafiaWare

К зашифрованным файлам добавляется расширение .Locked-by-Mafia

Распространение этого криптовымогателя пришлось на конец декабря 2016 - начало января 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: READ_ME.txt
MafiaWare Ransomware

Содержание записки о выкупе:
Your files has been encrypted by depsex
Pay $155 to my bitcoin address 1CS7x***
And send the proof to my email dompetpresiden@gmai1.com

Перевод записки на русский язык:
Ваши файлы были зашифрованы depsex
Заплатите $155 на мой Bitcoin-адрес 1CS7x***
И отправьте доказательство на мой email dompetpresiden@gmai1.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
READ_ME.txt - записка о выкупе
mafiaware.exe - исполняемый файл
mafiaware.pdb - файл проекта

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: ***stillblackhat.id/depokcybersec/dsc.php?info=***
Email: dompetpresiden@gmail.com
BTC: 1CS7xqkujGWQAMq1y54D68QwWKyCz266ZZ

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 30 января 2017:
Расширение: .Locked-Mafiaware 
Email: MattieSamanthaPutri@gmail.com
Результаты анализов: HA, VT

Обновление от 30 января 2017:
Все зашифрованные файлы теперь переименовываются, получая случайные имена, и помещаются в папку "Mafia infected files".
Расширение: .locked-by-mafia
Тема поддержки >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MafiaWare)
 Write-up
 *
 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *