Если вы не видите здесь изображений, то используйте VPN.

понедельник, 13 марта 2017 г.

Flotera

Flotera Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $199, чтобы вернуть файлы. Оригинальное название: Flotera Ransomware. Написано тайскими буквами. Разработчик: KOT-GIGANT, он же Tomasz "Armaged0n" T., польский гражданин, живущий в Бельгии (арестован по прибытии в Польшу в марте 2018). 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

 © Генеалогия: Vortex > Flotera

 К зашифрованным файлам добавляется расширение .aes

Активность этого крипто-вымогателя пришлась на март-апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записки с требованием выкупа называются: 
!!!-ODZYSKAJ-DANE-!!!.TXT
!!!-ODZYSKAJ-PLIKI-!!!.TXT 

 Содержание записки о выкупе:
@@@@@@@@@@
############
Nie możesz znaleźć potrzebnych plików na dysku twardym? Zawartość Twoich plików jest nie do otwarcia?
Jest to skutek działania programu który zaszyfrował większość Twoich danych przy pomocy silnego alogrytmu AES-256 używanego min. przez służby mundurowe do zatajania danych przesyłanych drogą elektroniczną.
Jedyna metoda aby odzyskać Twoje pliki to wykupienie od nas programu deszyfrującego, wraz z jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
############
W momencie gdy to czytasz całość jest już ukończona, wytypowane pliki zostały zaszyfrowane a sam wirus usunięty z Twojego komputera.
Klucz składający się z kilkudziesięciu znaków potrzebny do odszyfrowania danych z dysku znajduje się w miejscu dostępnym tylko dla nas!
Możesz w nieskończoność próbować instalacji kolejnych programów antywirusowych, Formatować system operacyjny to jednak nic nie zmieni !
Jeśli nie zastosujesz się do naszych instukcji nie odzyskasz plików które były na dysku HDD.
############
Gdy już postanowisz odzyskać swoje dane wyślij wiadomość pod obydwa adresy e-mail: flotera@2.pl oraz flotera@protonmail.ch
Możesz też napisać na Gadu-Gadu: 62206321
2 Pliki odszyfrujemy za darmo aby udowodnić że jesteśmy w stanie tego dokonać, Za resztę niestety musisz zapłacić !
Cena za odszyfrowanie wszystkich plików: 199$
Uwaga ! Nie marnuj czasu, czas to pieniądz za 4 dni cena wzrośnie o 100 % !
IP=188.138.33.220 
ID=fa463cae-5733-4174-a152-2199ad6XXXXX
Data=30-03-2017 09:14:00

 Перевод записки на русский язык:
Не можешь найти нужные файлы на жестком диске? Содержимое файлов не открывается?
Это результат работы программы, которая зашифрована много твоих данных при помощи сильного алгоритма AES-256, используемого силовыми структурами для маскировки передаваемых в электронном виде данных.
Единственный способ восстановить твои файлы — купить у нас программу дешифрования, с помощью одноразового ключа, созданного для тебя!
Во то время, пока читаешь всё уже сделано, выбранные файлы были зашифрованы и вирус удалён с твоего компьютера.
Ключ состоит из нескольких десятков символов, необходимых для расшифровки данных с диска, находится в месте доступном только нам. 
Можешь бесконечно пытаться установить антивирусные программы, форматировать операционную систему, но ничего не изменится! 
Если не будешь следовать нашей инструкции, то не восстановишь файлы, которые были на HDD.
Когда решишь восстановить свои данные свяжись с нами по обоим email-адресам:
flotera@2.pl и flotera@protonmail.ch
Можешь написать на Gadu-Gadu: 622063212
Пару файлов расшифруем даром, чтобы доказать, что мы это можем, за остальные, к сожалению, придется заплатить!
Цена за дешифрование всех файлов: $199 
Внимание!
Не тратьте время, время деньги, через 4 дня цена возрастет на 100%!

 Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Список файловых расширений, подвергающихся шифрованию:
.3g2, .3gp, .7z, .acc, .amr, .asf, .avi, .bin, .cfg, .cpp, .cs, .css, .der, .doc, .docx, .flv, .gif, .gzip, .html, .java, .js, .mkv, .mov, .mp3, .mp4, .mpg, .ogg, .ogv, .pdf, .ppt, .pptx, .py, .rar, .rb, .rm, .rmvb, .rtf, .swf, .tar, .txt, .vb, .vob, .wav, .wma, .wmv, .xls, .xlsx, .zip (48 расширений). 

 Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, скрипт-файлы, флеш-файлы, архивы и пр.

Файлы, связанные с этим Ransomware:
MenadzerDzwiekuHD2.exe
pfH.bat
updt.exe
listener22.exe
msdl.exe
!!!-ODZYSKAJ-DANE-!!!.TXT
!!!-ODZYSKAJ-PLIKI-!!!.TXT 

 Расположения:
%APPDATA%\Sterowniki\updt.exe
%APPDATA%\Sterowniki\pfH.bat

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
***xxxx://cypis.[cba].pl/1330/MenadzerDzwiekuHD2.exe***
***www.sethcardoza.com (104.31.70.8, США)
***api.ipify.org (23.23.128.123, США)
***aktualizacje.win (104.31.73.223, США)
flotera@2.pl
flotera@protonmail.ch
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются регулярно. 


 Внимание!
Есть возможность дешифровать файлы!
За помощью обращайтесь к Michael Gillespie‏ >> 
*
*
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Vortex)
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 GrujaRS
 *

© Amigo-A (Andrew Ivanov): All blog articles.
Автор: на Комментариев нет:

воскресенье, 12 марта 2017 г.

CryptoMeister

CryptoMeister Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (в режиме CBC), а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы. Оригинальное название из проекта: CryptoMeister, другое: Ransom Meister. Разработчик: Raphael. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

 © Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

 Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на французскоязычных пользователей, что не мешает распространять его по всему миру.

 Запиской с требованием выкупа выступает экран блокировки с заголовком Vérrouillé. 

 Содержание записки о выкупе:
Vérrouillé
Votre ordinateur à été verrouillé
Tous vos fichiers ont été cryptés. Pour récupérer l'accès à votre PC, vous devez envoyer 0.1 bitcoin à l'adresse ci-dessous
loading
Etape 1 : Allez sur xxxxs://wvw.coinbase.com/siqnup
Etape 2: Créez un compte et suivez les instructions
Etape 3 : Allez dans la section "Acheter des bitcoins" puis achetez bitcoin
Etape 4: Allez dans la partie "Envoyer", entrez l'adresse indiquée ci dessus et le montant (0.1 bitcoin)
Etape 5: Cliquez sur le bouton ci-dessous des que dest fait, vos fichiers seront décryptés et le virus disparaitra
'Vérifier'
Si vous tentez de contourner le verrouillage, tous les fichiers seront publiés sur internet ainsi que vos identifiants pour tous les sites.

 Перевод записки на русский язык:
Заблокировано
Ваш компьютер был заблокирован
Все ваши файлы зашифрованы. Чтобы получить доступ к вашему ПК, вам надо отправить на 0,1 Bitcoin на адрес ниже
загрузка
Шаг 1: Перейти на xxxxs://wvw.coinbase.com/siqnup
Шаг 2: Создать учетную запись и следовать инструкциям
Шаг 3: Зайти в раздел "Купить Bitcoins", а затем купить Bitcoin
Шаг 4: Зайти в раздел "Отправить", ввести адрес, указанный выше и сумму (0,1 Bitcoin)
Шаг 5: Нажать на кнопку ниже, что проверить оплату, ваши файлы будут расшифрованы и вирус исчезнет
'Проверить'
При попытке обойти блокировку, все файлы будут опубликованы в Интернете, а также ваш логин для всех сайтов.

 Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Технические детали


Завершает процессы: ProcessHacker, taskmgr, Wireshark, Chrome, firefox
Прописывается в AppData под именем rnsm.exe.
Новое расширение получает со своего C&C-сервера. 

 Список файловых расширений, подвергающихся шифрованию:
Шифрует все файлы, без разбора. 
Это, конечно же, документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
rnsm.exe
<random>.exe

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются регулярно. 


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 S! Ri 
 BleepingComputer
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.
Автор: на Комментариев нет:

RozaLocker

RozaLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 10000 рублей с переводом в биткоины, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

 © Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

 Записки с требованием выкупа называются: ReadMe.txt

Содержание записки о выкупе:
ТВОИ ФАЙЛЫ ЗАШИФРОВАНЫ (ДАЖЕ НЕ СМОТРЯ НА ТО, ЧТО ОНИ ЧАСТИЧНО ОТКРЫВАЮТСЯ). У НАС ТВОЙ ЛОГИН И ПАРОЛЬ ОТ ВКОНТАКТЕ, ОДНОКЛАССНИКОВ, ОНЛАЙН-БАНКОВ И ДРУГИЕ.
У ТЕБЯ ЕСТЬ 6 ЧАСОВ ЧТОБЫ ЗАПЛАТИТЬ ВЫКУПИ ЗА НИХ, ИНАЧЕ МЫ ИХ ВЫЛОЖИМ В ОТКРЫТЫЙ ДОСТУП!
ИНСТРУКЦИЯ:
1) Найди 10 000 (10 тысяч) рублей, не меньше. Подойдет следующее -
(Qiwi, Сбербанк, Яндекс.Деньги, Тинькофф Банк, ВТБ, но лучше Qiwi (быстрее)
2) В браузере открой сайт https://x-pay.cc/ - через данный сайт будешь переводить деньги
3) В графе ОТДАЮ выбери откуда будешь переводить (согласно п.1) и выше введи сумму - 10000 руб.
4) В графе ПОЛУЧАЮ выбери Bitcoin и сверху сумма должна автоматически перевестись в btc
5) В графе ВВОД ДАННЫХ заполняешь свои реквизиты откуда будешь платить и куда переводить (кошелёк Bitcoin)
ВНИМАНИЕ-ВНИМАНИЕ, ПРАВИЛЬНО скопируй этот номер кошельку (да, он такой странный)
3FjtFZWjyj46UcfDY4AiUrEv7wLtyzZv5o
После вставки, внимательно, ещё раз проверь правильно ли скопировал.
6) Нажимаешь ПЕРЕЙТИ К ОПЛАТЕ и следуешь дальнейшим инструкция на сайте.
Через пару часов мы тебе напишем на рабочем столе и вернем всё тебе.
Если есть трудности, то тогда пиши на почтовый ящик - aoneder@mail.ru
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Использует RDP для входа в систему жертвы. 
Проверяет наличие некоторых антивирусов (Baidu, Norton). 
Пытается получить доступ к редким буквам приводов. 
Использует методы анти-виртуализации и анти-отладки. 
Проверяет язык системы, IP-адрес компьютера и пр. 

В коде имеется множество веб-адресов со всего мира.
UAC не обходит, требуется разрешение, если пользователь даст разрешение, то запускается некая "Игровая программа от Саши Рендера", которая делает вид, что ищет содержимое, демонстрируя надпись "ПОИСК".
На самом деле в этот момент выполняется поиск целевых файлов и их шифрование. 

 Список файловых расширений, подвергающихся шифрованию:
.a3d, .blend, .dds, .djv, .doc, .docm, .docx, .fb2, .fb3, .jpeg, .jpg, .lwp, .max, .obj, .ods, .odt, .otf, .pdf, .pdn, .pfa, .pfb, .png, .qpf2, .rft, .svg, .sxc, .sxw, .ttc, .ttf, .unity, .xls, .xlsm, .xlsx (33 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы растровых изображений и векторной графики, файлы разработки двух- и трёхмерных приложений и игр, и пр.

Файлы, связанные с этим Ransomware:
Setup.exe
ReadMe.txt
qt_temp.Hp3852
trainer.exe
black.bmp - чёрный фон рабочего стола.

 Расположения:
%WINDIR%\qt_temp.Hp3852
%WINDIR%\trainer.exe
C:\ReadMe.txt
C:\Windows\black.bmp

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
aoneder@mail.ru
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >> + без UPX >>
VirusTotal анализ >> + без UPX >>
Другой анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются регулярно. 


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Roza)
 Video review
 * 
 Thanks: 
 Jiri Kropac‏ 
 GrujaRS
 Thyrex
 Karsten Hahn

© Amigo-A (Andrew Ivanov): All blog articles.
Автор: на Комментариев нет:

пятница, 10 марта 2017 г.

GC47

GC47 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в биткоинах (это около 0.0361312 BTC), чтобы вернуть файлы. Оригинальное название. Среда разработки: Visual Studio 2013. Фальш-имя: Microsoft Windows Operating System
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

 © Генеалогия: HiddenTear >> GC47

 К зашифрованным файлам добавляется расширение .Fuck_You
Изображение не принадлежит шифровальщику

 Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записки с требованием выкупа называются: READ_IT.txt

 Содержание записки о выкупе:
Fuck_You was Encrypt your File,
Send 50 USD BTC Address 14vY5z8fWzCj93YTwbGiLd6ansZNM32kC3
Then meet me,
my email unixc47@gmail.com

 Перевод записки на русский язык:
Fuck_You зашифровал ваш файл,
Отправь $50 на BTC-адрес 14vY5z8fWzCj93YTwbGiLd6ansZNM32kC3
Чтобы общаться со мной,
мой email unixc47@gmail.com

 Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GC47_Ransomeware.exe
READ_IT.txt

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
unixc47@gmail.com
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются регулярно. 


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GC47)
 Write-up, Topic
 * 
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.
Автор: на Комментариев нет:

четверг, 9 марта 2017 г.

Vortex

Vortex Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $199, чтобы вернуть файлы. Оригинальное название, указано в записке. Другое, указанное в проекте и на файле: AESxWin. В последующих версиях на файлах были другие надписи, см. внизу "Блок обновлений". Разработчик скрылся под ником: KOT-GIGANT, он же Tomasz "Armaged0n" T., польский гражданин, живущий в Бельгии (арестован по прибытии в Польшу в марте 2018 года). На исполняем файле указан копирайт: Copyright © Eslam Hamouda 2015
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private


© Генеалогия: AESxWin >> Vortex

К зашифрованным файлам добавляется расширение .aes

 Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на польскоязычных пользователей, что не мешает распространять его по всему миру.

 Записки с требованием выкупа называются: ODZSZYFRUJ-DANE.txt

 Содержание записки о выкупе:
Vortex Ransomware
Nie możesz znaleźć potrzebnych plików na dysku twardym? Zawartość Twoich plików jest nie do otwarcia?
Jest to skutek działania programu który zaszyfrował większość Twoich danych przy pomocy silnego alogrytmu aes-256, używanego min. przez służby mundurowe do zatajania danych przesyłanych drogą elektroniczną.
Jedyna metoda aby odzyskać Twoje pliki to wykupienie od nas programu deszyfrującego, wraz z jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
Gdy już postanowisz odzyskać swoje dane skontaktuj się z nami pod adrem e-mail: rsapl@openmailbox.org lub poiskiransom@airmail.cc
2 Pliki odszyfrujemy za darmo aby udowodnić że jesteśmy w stanie tego dokonać, Za resztę niestety musisz zapłacić!
Cena za odszyfrowanie wszystkich plików: 199$
Uwaga! Nie marnuj czasu, czas to pieniądz za 4 dni cena wzrośnie o 100%!
IP= ID=

Перевод записки на русский язык:
Vortex Ransomware
Не можешь найти нужные файлы на жестком диске? Содержимое файлов не открывается?
Это результат работы программы, которая зашифрована много твоих данных при помощи сильного алгоритма AES-256, используемого силовыми структурами для маскировки передаваемых в электронном виде данных.
Единственный способ восстановить твои файлы — купить у нас программу дешифрования, с помощью одноразового ключа, созданного для тебя!
Когда решишь восстановить свои данные, пожалуйста, свяжись с нами по email-адресам: rsapl@openmailbox.org или poiskiransom@airmail.cc 
2 файла расшифруем даром, чтобы доказать, что мы это можем, за остальные, к сожалению, придется заплатить!
Цена за расшифровку всех файлов: $199
Внимание! Не трать свое время, время — деньги, через 4 дня цена возрастет на 100%!
IP= ID=

 Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов с помощью команды:
vssadmin.exe delete shadows /all /Quiet

 Список файловых расширений, подвергающихся шифрованию:
.3g2, .3gp, .7z, .acc, .amr,  .asf, .avi, .cpp, .cs, .css, .doc, .docx, .flv, .gzip, .html, .java, .js, .mkv, .mov, .mp3, .mp4, .mpg, .ogg, .ogv, .pdf, .ppt, .pptx, .py, .rar, .rb, .rm, .rmvb, .rtf,  .swf, .tar, .txt, .vb, .vob, .wav, .wma, .wmv, .xls, .xlsx, .zip (44 расширения). 
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
ODZSZYFRUJ-DANE.txt
AESxWin.exe
polish.exe

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
xxxx://eslamx.com
xxxx://ethcardoza.com
xxxx://www.sethcardoza.com/
xxxx://api.ipify.org
xxxx://wielkijopl.temp.swtest.ru/
rsapl@openmailbox.org
poiskiransom@airmail.cc
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
IntezerAnalyze анализ >>
ANY.RUN анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Примечание от 1 декабря 2017:
Ссылка на статью >>
Код Vortex Ransomware основан на AESxWin — бесплатной программе для шифрования и дешифрования (разработчик Eslam Hamouda, Египет).  


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Обновление от 13 марта 2017:
Пост в Твиттере >>
Новое название: Flotera, написано как Ŧl๏tєгค гคภร๏๓ฬคгє
<< Название в виде картинки
Файл: MenadzerDzwiekuHD2.exe
Записка: !!!-ODZYSKAJ-DANE-!!!.TXT
Раcширение: .aes
Адрес: xxxx://cypis.[cba].pl/1330/MenadzerDzwiekuHD2.exe
Разработчик прежний: KOT-GIGANT
См. также статью Flotera Ransomware >>

Обновление от 16 октября 2017:
Пост в Твиттере >>
Вредоносное вложение в email: Powiadomienie o przejeciu wierzytelnosci DOC.js
Записка: #$# JAK-ODZYSKAC-PLIIKI.txt
Результаты анализов: VT

Обновление от 20 октября 2017:
Пост в Твиттере >>
🎥 Видео-обзор от CyberSecurity GrujaRS >>
Расширение: .aes
URL: dantall.bdl.pl/ , v4.ident.me/ , e-xbau.pl/***
Записка: !!$ O D Z Y S K A  J P L I K I.txt
<< Скриншот записки
Email: Hc9@2.pl и Hc9@goat.si
Файлы: wind.exe и 20102017_150240.log
Фальш-имя: AsusTek. На файле написано: AsusTPCenter.exe
Сумма выкупа: $100-$200
Email-атачмент: Black Red White - Potwierdzenie Zamowienia.doc Используется атака DDE
Результаты анализов: HA+VT


Обновление от 23 ноября 2017:
Email: Hc9@2.pl и Hc9@goat.si 
Сумма выкупа: $100
Записка: ##@@ INFO O PLIKACH.txt
Содержание записки: 
V_o_r_t_e_x R_a_n_s_o_m_w_a_r_e
!!!! U W A G A !!!! Masz Problem Ze Znalezieniem Potrzebnych Danych ? Nie Moesz Otworzy Swoich Dokumentw? Po Otworzeniu Wanych Plikw Widzisz Tylko Nic Nie Mwicy, Dziwny Cig Znakw? Twoje Istotne Pliki Zostay Zaszyfrowane ! Twoje Zdjcia, Dokumenty, Bazy Danych, Zostay Zaszyfrowane Niemozliwym Do Zlamania Algorytmem Aes-256 Metody Tej Do Szyfrowania Zawartosci Dokumentw Uzywaja Sluzby Wywiadowcze I Wojsko.
Gdy To Czytasz Proces Jest Zakoczony, Wytypowane Pliki Zostay Zaszyfrowane A Sam Program Usunity Z Twojego Komputera. Odzyskac Twoje Dane Mozna Tylko Przy Pomocy Dedykowanego Programu Deszyfrujcego, Wraz Z Jednorazowym Kluczem Wygenerowanym Unikalnie Dla Ciebie! Dwa Pliki Odszyfrujemy Bez Opaty Aby Nie By Goosownymi, Za Pozostae Bdziecie Pastwo Musieli Zapaci 100$ Aby Odzyska Pliki Skontaktuj Si Z Nami Pod Adresem: Hc9@2.pl Lub Hc9@goat.si Radzimy Decydowa Si Szybko, 4 Dni Od Zaszyfrowania Opata Zostanie Podniesiona Do 200$.
Kontaktujac Sie Z Nami Pamietaj Aby Podac Id-komputera I Date DANE: IP=X ID=X Data=21-11-2017 00:33:09
Новый список расширений:


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Есть возможность дешифровать файлы!
За помощью обращайтесь к Michael Gillespie‏ >> *
***
После ареста в Польше разработчика шифровальщика
можно по ссылке от Cert.pl получить ключ 
Перейти по ссылке >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Vortex)
 Write-up, Topic
🎥 Video review >>


 Thanks: 
 Karsten Hahn‏
 Michael Gillespie
 GrujaRS
 Zscaler

© Amigo-A (Andrew Ivanov): All blog articles.
Автор: на Комментариев нет:

Dangerous

Dangerous Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует связаться по email. Оригинальное название: DANGEROUS_RANSOM.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

 © Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записки с требованием выкупа называются: troll.txt

Содержание записки о выкупе:
DANGEROUS_RANSOM
Hacked. Please contact hakermail@someting.com

 Перевод записки на русский язык:
DANGEROUS_RANSOM
Взломано. Для связи hakermail@someting.com

 Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DANGEROUS_RANSOMW.exe
troll.txt
myscrypt.vbs

 Расположение:
%User%\myscrypt.vbs

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются регулярно. 


 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic
 * 
 Thanks: 
 Karsten Hahn‏ 
 S!Ri
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.
Автор: на Комментариев нет:
Подписаться на: Сообщения (Atom)

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *