Help50

Help50 Ransomware

Dat Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью логической операции OR, а затем указывает только email для связи. Оригинальное название: нигде не было указано. Поэтому для названия статьи и вымогателя был использован логин из почты вымогателей. 

© Генеалогия: выясняется.

Это изображение логотип статьи

К зашифрованным файлам добавляется расширение .dat

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: DECRYPT_FILES.txt

Содержание записки о выкупе:
help50@yandex.ru

!!! Файлы в этом образце были зашифрованы порциями по 8 Мб и безвозвратно повреждены, из-за использования необратимой логической операции OR. Уплата выкупа бесполезна!!!

!!! В новых образцах шифратора возможна расшифровка силами специалистов.
Смотрите ссылки на форум под статьей в блоке =БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS=

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Наиболее известным распространением, о которым сообщают пострадавшие, является фальшивое обновление для программы RedirectGen.exe, которое устанавливает шифровальщик. Этот файл представлен на анализ в апреле 2017 г. (ссылка). На VirusTotal представлен полный пакет, используемый для распространения через обновлений этого шифровальщика (ссылка). Смотрите там в разделе "Сведения о файле" файл Project1.exe и его отдельный анализ. 

Второй известный способ распространения через программу PR Manager VK. На VirusTotal представлен полный пакет, используемый для распространения через обновлений этого шифровальщика (ссылка). Смотрите там в разделе "Сведения о файле" файл Project1.exe и его отдельный анализ. 

Список файловых расширений, подвергающихся шифрованию:

.1cd, .3gp, .7z , .ac3, .ape, .avi, .bmp, .cdr, .cer, .dbf, .divx, .djvu, .doc, .docx, .dwg, .flac, .flv, .gif, .gzip, .htm, .html, .ifo, .jpeg, .jpg, .kwm, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png, .ppt, .pptx, .psd, .pwm, .rar, .tar, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsx (54 расширения) + .zip в версии от 12.12.2017 (итого 55 расширений). 

Это документы MS Office, PDF, текстовые файлы, базы данных, фото и другие изображения, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
setup.exe или Setup.exe
project1.exe или Project1.exe
DECRYPT_FILES.txt или DecryptFiles.txt
RedirectGen.exe
redirectgen.exe
Qt5Core.dll
%WINDIR%\SYSTEM32\sechost.dll
%WINDIR%\system32\MSVCP100.dll

%WINDIR%\system32\MSVCR100.dll
%PROGRAMFILES%\Wireshark\Qt5Core.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: help50@yandex.ru
Satana@mail.ru
URL: xxxx://bitsatan.do.am/other/RedirectGen.txt

xxxx://server64.blogspot.com/p/blog-page_4.html
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >> HA>>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предистория:
Информация от 15 октября 2016:
Email: Satana@mail.ru, bitSatana@mail.ru
Адреса URL из uCoz, участвовавшие в распространении вируса: 
xxxx://disembark502.clan.su/ 
xxxx://justness.clan.su/
xxxx://cashlink.do.am/
xxxx://www.sound30.usite.pro/
xxxx://kazesynelj.do.am/
Файл вредоносного проекта: D:\Projects\WinRAR\SFX\build\sfxrar32\Release\sfxrar.pdb
Файл вредоносного проекта: D:\CFILES\Projects\WinSSL\openssl-1.0.2h\out32dll\ssleay32.pdb

Файл EXE: RedirectGen.exe
Результаты анализов: HA + VT

Обновление от 30 ноября 2017:
Записка: DECRYPT_FILES.txt
Email: help50@yandex.ru
Шифрование: AES-128
Файлы можно дешифровать! 
Шифрование AES-128, выполняется со статичным ключом, который генерируется случайным образом (разный ключ при каждом запуске), потом накрывается шифром RSA-2048 и затем помещается в конец файла. Пока нет изменений в работе шифровальщика, то имея пару файлов зашифрованный и незашифрованный, можно подобрать ключ дешифрования. 
---

Обновление от 12 декабря 2017:
В список расширений добавились файлы с расширением .zip
Ключ шифрования генерируется иначе и он разный для каждого файла. Дешифрование файлов без RSA-ключа теперь практически невозможно.  

Обновление от 2 марта 2018:
Вымогатели теперь используют алгоритм RSA для шифрования файлов. 
Прежний способ дешифровки не будет работать. 

Обновление от 15 июня 2018:
Расширение: .dat
Email: blackmagic8@yandex.com
Записка: DecryptFiles.txt

➤ Содержание записки: 
blackmagic8@yandex.com
Топик на форуме >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Это непросто, но в некоторых случаях возможно.
Обращайтесь по ссылке к консультанту thyrex
Создайте там новую тему "Help50 зашифровал файлы".

 Read to links: 
 Topic on Cyberforum.ru
 ID Ransomware (ID as Help50)
 Write-up, Topic
 * 

 Thanks: 
 Thyrex, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

LLTP Locker

LLTP Ransomware
LLTP Locker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в $200 в биткоинах (~0.2 BTC), чтобы вернуть файлы. Оригинальное название. Разработчик: LLTP Locker Team. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: VenusLocker > LLTP

К зашифрованным файлам добавляются расширения:
.ENCRYPTED_BY_LLTP
.ENCRYPTED_BY_LLTPp

Активность этого крипто-вымогателя пришлась на вторую половину марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ReadMe.txt и LEAME.txt

Содержание текста о выкупе на английском языке:
--- THE LLTP RANSOMWARE ---
Unfortunately, you are hacked.
1. What happened to my files?
Your personal files, including your photos, documents, videos and other important files on this computer, have been encrypted with RSA-4096, the strongest encryption algorithm. RSA algorithm generates a public key and a private key for your computer. The public key was used to encrypt your files a moment ago. The private key is necessary for you to decrypt and recover your files. Now, your private key is stored on our secret Internet server. And there is no doubt that no one can recover your files without your private key.
For further information about RSA algorithm, please refer to https://en.wikipedia.org/wiki/RSA_(cryptosystem)
2. How to decrypt my files?
To decrypt and recover your files, you have to pay #ramt# US Dollars for the private key and decryption service. Please note that you have ONLY 72 HOURS to complete your payment. If your payment do not be completed within time limit, your private key will be deleted automatically by our server. All your files will be permanently encrypted and nobody can recover them. Therefore, it is advised that you'd better not waste your time, because there is no other way to recover your files except making a payment.
3. How to pay for my private key?
There are three steps to make a payment and recover your files: 
1). For the security of transactions, all the payments must be completed via Bitcoin network. Thus, you need to exchange #ramt# US dollars (or equivalent local currencies) to Bitcoins, and then send these Bitcoins (about #btc# BTC) to the following address. 19fhNi9L2aYXTaTFWueRhJYGsGDaN6WGcP
2). Send your personal ID to our official email: LLTP@mail2tor.com
Your personal ID is: #id#
3). You will receive a decryptor and your private key to recover all your files within one working day.
4. What is Bitcoin?
Bitcoin is an innovative payment network and a new kind of money. It is based on an open-source cryptographic protocol that is independent of any central authority. Bitcoins can be transferred through a computer or a smartphone withour an intermediate financial institution.
5. How to make a payment with Bitcoin?
You can make a payment with Bitcoin based on Bitcoin Wallet or Based on Perfect Money. You can choose the way that is more convenient for you.
About Based on Bitcoin Wallet
1) Create a Bitcoin Wallet. We recommend Blockchain.info (https://blockchain.info/)
2) Buy necessary amount of Bitcoins. Our recommendations are as follows.
LocalBitcoins.com -- the fastest and easiest way to buy and sell Bitcoins.
CoinCafe.com -- the simplest and fastest way to buy, sell and use Bitcoins.
BTCDirect.eu -- the best for Europe.
CEX.IO -- Visa / MasterCard
CoinMama.com -- Visa / MasterCard
HowToBuyBitcoins.info -- discover quickly how to buy and sell Bitcoins in your local currency.
3) As mentioned above, send about #btc# BTC (equivalent to #ramt# USD) to our Bitcoin receiving address.
4) As mentioned above, and then, send us your personal ID via email, you will receive your private key soon.
About Based on Perfect Money
1) Create a Perfect Money account. (https://perfectmoney.is)
2) Visit to PMBitcoin.com. (https://pmbitcoin.com/btc) 
input our Bitcoin receiving address in the "Bitcoin Wallet" textbox. 
input #ramt# in the "Amount" textbox, the amount of Bitcoin will be calculated automatically.
click "PAY" button, then you can complete you payment with your Perfect Money account and local debit card.
6. If you have any problem, please feel free to contact us via official email.
Best Regards
The LLTP Locker Team

Перевод текста на русский язык:
--- LLTP Ransomware ---
К сожалению, вы взломаны.
1. Что случилось с моими файлами?
Ваши личные файлы, включая ваши фото, документы, видео и другие важные файлы на этом компьютере, были зашифрованы с помощью RSA-4096, самым сильным алгоритмом шифрования. Алгоритм RSA генерирует открытый и закрытый ключи для вашего компьютера. Открытый ключ использован для шифрования файлов минуту назад. Секретный ключ необходим вам, чтобы расшифровать и восстановить файлы. Теперь ваш закрытый ключ хранится на нашем секретном Интернет-сервере. И без сомнений никто не сможет восстановить ваши файлы без вашего секретного ключа.
Для получения дополнительной информации об алгоритме RSA, обратитесь к https://en.wikipedia.org/wiki/RSA_(cryptosystem)
2. Как расшифровать мои файлы?
Для того, чтобы расшифровать и восстановить файлы, вы должны платить 200 долларов США за ключ и частную услугу дешифрования. Заметьте, у вас есть только 72 часов, чтобы сделать оплату. Если ваш платеж не будет совершен в течение срока, ваш закрытый ключ будет автоматически удален нашим сервером. Все ваши файлы останутся зашифрованными и никто не сможет их восстановить. Поэтому, рекомендуется, что вы не тратили своё время, т.к. нет никакого другого пути, чтобы восстановить ваши файлы, кроме внесения платежа.
3. Как оплатить мой личный ключ?
Есть три шага, чтобы сделать оплату и восстановить файлы:
1). Для обеспечения безопасности сделок, все платежи должны быть завершены через сеть Bitcoin. Таким образом, вам нужно обменять 200 долларов США (или эквивалент в национальной валюте) в Bitcoins, а затем отправить эти биткоины (около 0,2 BTC) на следующий адрес. 19fhNi9L2aYXTaTFWueRhJYGsGDaN6WGcP
2). Отправьте свой ID и email на наш официальный адрес: LLTP@mail2tor.com
Ваш личный идентификационный номер: *****
3). Вы получите дешифратор и закрытый ключ для восстановления всех файлов в течение одного рабочего дня.
4. Что такое Bitcoin?
Bitcoin является инновационной сетью оплаты и новым видом денег. Он основан на криптографическом протоколе с открытым исходным кодом, который не зависит от какого-то центрального органа. Биткоины могут быть переданы через компьютер или смартфон без промежуточного финансового учреждения.
5. Как сделать платеж с помощью Bitcoin?
Вы можете произвести оплату в биткоинах на основе на Bitcoin-кошелька или на Perfect Money. Вы можете выбрать путь, который является более удобным для Вас способом.
Основное о Bitcoin-кошельке
1) Создать кошелек Bitcoin. Мы рекомендуем Blockchain.info (https://blockchain.info/)
2) Купить нужное количество битконов. Наши рекомендации заключаются в следующем.
LocalBitcoins.com - самый быстрый и простой способ купить и продать Bitcoins.
CoinCafe.com - самый простой и быстрый способ покупать, продавать и использовать Bitcoins.
BTCDirect.eu - лучший для Европы.
CEX.IO - Visa / MasterCard
CoinMama.com - Visa / MasterCard
HowToBuyBitcoins.info - быстро найти, как купить и продать Bitcoins в местной валюте.
3) Как уже упоминалось выше, отправить около 0,2 BTC (эквивалент 200 USD) на наш приемный Bitcoin-адрес.
4) Как уже упоминалось выше, затем отправьте нам свой ID по email b вы получите ваш личный ключ в ближайшее время.
Основное о Perfect Money
1) Создать аккаунт Perfect Money. (https://perfectmoney.is)
2) Посетить PMBitcoin.com. (https://pmbitcoin.com/btc)
Ввести наш Bitcoin-адрес получателя в "Bitcoin Wallet" текстовое поле.
Ввести 200 в текстовое поле "Amount", количество Bitcoin будет рассчитано автоматически.
Нажать кнопку "PAY", вы можете совершить ваш платеж с помощью аккаунта Perfect Money и местной дебетовой карты.
6. Если у вас есть какие-то проблемы, пожалуйста, не стесняйтесь связаться с нами по официальной email.
С наилучшими пожеланиями
LLTP Locker Team

Содержание текста о выкупе на испанском языке:
¡¡¡ATENCION!!!
A partir de este momento, todos los archivos importantes almacenados en este computador, tales como: documentos (excel, pdf, doc, etc), bases de datos (sql, mdb, etc), fotos, música, videos entre otros, se encuentran encriptados con cifrado AES-256 y RSA-2048, esto significa que estos archivos están actualmente BLOQUEADOS con una llave virtual única generada excusivamente para este computador, la cual se encuentra almacenada en nuestro servidor secreto de internet, y le aseguramos que es IMPOSIBLE desbloquearlos sin dicha llave virtual.
Pero no se preocupe, sus archivos aun se encuentran en su computador, pero están bloqueados.
Si a usted le importan sus archivos y desea recuperarlos, todo lo que debe hacer es realizar un pago de 0,2 Bitcoins (Cerca de $ 200 USD) por la llave virtual y el servico de decifrado, enviando dichos bitcoins a la siguiente dirección: 19fhNi9L2aYXTaTFWueRhJYGsGDaN6WGcP
Si desea realizar el pago y recuperar sus archivos, favor envienos un e-mail a nuestra dirección oficial: LLTP@mail2tor.com con su ID personal y recibirá toda la asesoria necesaria para completar su pago y desbloquear sus archivos.
Su ID personal es: *****
NOTA: SOLO DISPONE DE 72 HORAS PARA REALIZAR EL PAGO, DE LO CONTRARIO SU LLAVE VIRTUAL SERA ELIMINADA AUTOMATICAMNETE Y
TODOS SUS ARCHIVOS QUEDARAN BLOQUEADOS PERMANENTEMENTE
NOTA2: NO INTENTE RECUPERAR SUS ARCHIVOS POR SU CUENTA YA QUE PODRIA DAÑARLOS Y ESTO ENCARECERIA EL SERVICIO DE DECIFRADO, O PEOR AUN PODRIA TERMINAR DE PERDERLOS PARA SIEMPRE.

Перевод текста на русский язык:
!!! ВНИМАНИЕ !!!
С этого момента все важные файлы на этом компьютере, такие как документы (excel, pdf, doc и т.д.), базы данных (sql, mdb и т.д.), фото, музыка, видео и другие, зашифрованы с помощью шифров AES-256 и RSA-2048, это значит, что эти файлы теперь заблокированы с помощью одного виртуального ключа, созданного только для для этого компьютера, который хранится на нашем секретном интернет-сервере, и мы заверяем вас, что разблокировать файлы без этого виртуальный ключ невозможно.
Но не волнуйтесь, ваши файлы всё ещё находятся на вашем компьютере, хоть и заблокированы.
Если вы цените ваши файлы и хотите их обратно, то всё, что вам нужно, это сделать платеж в размере 0,2 биткоина (около $200 США) за виртуальный ключ и услугу расшифровки, отправив эти биткоины по следующему адресу: 19fhNi9L2aYXTaTFWueRhJYGsGDaN6WGcP
Если вы хотите заплатить и вернуть файлы, то отправьте email на наш официальный адрес: LLTP@mail2tor.com с вашим личным ID и получите всю необходимую помощь для завершения платежа и разблокировки ваших файлов.
Ваш личный ID: *****
ПРИМЕЧАНИЕ: Есть только 72 часа для оплаты, иначе виртуальный ключ будет удален, а фалы останутся заблокированными. 
Примечание 2: Не пытайтесь восстановить файлы на свой страх, т.к. это может повредить их, затруднить расшифровку, или даже хуже, вы можете потерять их навсегда.


Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Технические детали

LLTP Ransomware может шифровать файлы жертвы, независимо от наличия подключения к Интернету, т.е. как онлайн, так и в автономном оффлайн-режиме. При первом запуске LLTP подключается к своему C&C-серверу ***moniestealer.co.nf и отправляет имя ПК жертвы, имя пользователя и строку-идентификатор "lltp2.4.0". Вероятно, 2.4.0 - это номер версии вымогателя. 

C&C-сервер отвечает с AES-паролем, используемым для шифрования файлов жертвы, и ID, который будет вставлен в записку о выкупе. Если шифровальщик не может соединиться с C&C-сервером, то он сам сгенерирует эту информацию.

Пароль шифрования шифруется с помощью встроенного RSA-ключа шифрования и сохраняется в tlltpl-файле, как показано ниже. Вот это расположение: %UserProfile%\AppData\Local\Temp\tlltpl.tlltpl

⚠ Не рекомендуется пострадавшим удалять файл tlltpl.tlltpl, пока они не приняли решения, что делать дальше, т.е. платить выкуп, ждать чуда или смириться с потерей файлов. 

LLTP Ransomware будет шифровать файлы с помощью AES-256. При этом исходное имя файла кодируется в Base64, а затем к нему добавляется специальное расширение, основанное на типе файлов, перечисленные ниже. Например, файл с именем Wildlife.wmv после шифрования станет V2lsZGxpZmUud212.ENCRYPTED_BY_LLTPp

LLTP создаёт папку %Temp%\lltprwx86\ и извлекает в неё файл encp.exe, который является переименованным копией Rar.exe. Затем он создаёт подпапку \vault\ и копирует в неё все зашифрованные файлы, получившие расширение .ENCRYPTED_BY_ LLTPp. Затем с помощью encp.exe в папке-хранилище будет создан защищенный паролем RAR-архив. Паролем для таких архивов служат 32-х символьные пароли, используемые для шифрования файлов. Причина создания этого архива пока неизвестна.

Команда, используемая для создания защищенного паролем RAR-архива:
encp.exe a -r -mt2 -dw -hp [password] -m0 %Temp%\lltprwx86\Files.LLTP %Temp%\lltprwx86\vault\*.*

Это же в коде шифровальщика:

Во время шифрования тома теневых копий удаляются командой:
C:\\Windows\\system32\\wbem\\wmic.exe shadowcopy delete

LLTP Ransomware извлекает файл RansomNote.exe и сохраняет его на рабочем столе. Затем для него создаётся ссылка в Автозапуске системы. 

 

При запуске этого файла на экране жертвы будет отображаться испанская записка о выкупа, см. ниже. Дополнительно на рабочем столе будет сохранена записка о выкупе под названием LEAME.txt

👉 Обратите внимание, что окно с испанским текстом содержит англоязычный заголовок, а текстовый файл с испанским словом "LEAME" (ПРОЧТИ) содержит английский текст. 

Автоматически будет загружен файл VdREVyH.jpg для установки как обои рабочего стола. Он тоже содержит требования выкупа $200, Bitcoin-адрес 19fhNi9L2***, email-адрес LLTP@mail2tor.com, на который жертва должна выслать ID и данные платежной операции.

Скринлок на обоях рабочего стола

Список типов файлов, подвергающихся шифрованию c добавлением расширения .ENCRYPTED_BY_LLTP:
.asp, .aspx, .c, .cc, .class, .cpp, .cs, .css, .csv, .cxx, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .h, .html, .ini, .jar, .java, .log, .msg, .php, .pl, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .py, .rtf, .sldm, .sldx, .sln,.txt, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, xlsb (59 расширений)

Список типов файлов, подвергающихся шифрованию c добавлением расширения .ENCRYPTED_BY_LLTPp:
.1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .aaf, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aep, .aepx, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .as, .as3, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .class, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .csv, .ctt, .cty, .cwf, .dal, .dap, .dat, .db, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .eat, .elf, .eps, .eql, .erf, .err, .euc, .evo, .ex, .exif, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .game, .gif, .grf, .grle, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idml, .idx, .img, .indb, .indd, .indl, .indt, .ini, .ink, .inx, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .jsp, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md3, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .oab, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .ost, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pl, .plb, .plc, .pli, .pm, .pmd, .png, .pot, .potm, .potx, .ppam, .ppd, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prel, .prproj, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rpt, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .sldm, .sldx, .slot, .slt, .snp, .so, .spr, .spv, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .sv5, .svg, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlv, .xlw, .xlwx, .xml, .xpi, .xpt, .xqx, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (514 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и пр. Но, как и в случаях с предыдущими итерациями VenusLocker, большинство расширений из первого списка дублируются во втором. Я выполнил сравнение списков, смотрите наглядный скриншот. 

Лоуренс Адамс предположил, что первый список проверяется шифровальщиком в первую очередь. 

Шифровальщик пропускает директории: 
Program Files, Program Files (x86), Windows, Python27, Python34, AliWangWang, Avira, wamp, Avira, 360, ATI, Google, Intel, Internet Explorer, Kaspersky Lab, Microsoft Bing Pinyin, Microsoft Chart Controls, Microsoft Games, Microsoft Office, Microsoft.NET, MicrosoftBAF, MSBuild, QQMailPlugin, Realtek, Skype, Reference Assemblies, Tencent, USB Camera2, WinRAR, Windows Sidebar, Windows Portable Devices, Windows Photo Viewer, Windows NT, Windows Media Player, Windows Mail, NVIDIA Corporation, Adobe, IObit, AVAST Software, CCleaner, AVG, Mozilla Firefox, VirtualDJ, TeamViewer, ICQ, java, Yahoo!

Файлы, связанные с этим Ransomware:
LLTP.exe - исполняемый файл вымогателя;
encp.exe - переименованная копия Rar.exe (v.5.40 x86);
RansomNote.exe - экран с текстом на испанском языке;
bg.jpg - файл для обоев рабочего стола;
ReadMe.txt и LEAME.txt - записки о выкупе;
tlltpl.tlltpl - файл содержит зашифрованный ключ жертвы!!!
uinf.uinf - специальный файл с информацией для вымогателей;
<random>.exe - исполняемый файл со случайным именем; 
<random>.tmp - временный файл со случайным именем; 
<random>.doc.exe - исполняемый файл со случайным именем; 
<random>.exe.tmp - исполняемый файл со случайным именем. 

Расположения:
%UserProfile%\Desktop\ReadMe.txt
%UserProfile%\Desktop\LEAME.txt
%UserProfile%\bg.jpg
%UserProfile%\AppData\Local\Temp\lltprwx86\
%UserProfile%\AppData\Local\Temp\lltprwx86\encp.exe
%UserProfile%\AppData\Local\Temp\lltprwx86\Files.LLTP
%UserProfile%\AppData\Local\Temp\lltprwx86\vault\
%UserProfile%\AppData\Local\Temp\tlltpl.tlltpl
%UserProfile%\AppData\Local\Temp\uinf.uinf

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\LLTP %UserProfile%\Desktop\Ransomnote3.5.exe
HKCU\Control Panel\Desktop\Wallpaper   "%UserProfile%\bg.jpg"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://i.imgur.com/VdREVyH.jpg - скринлок на обои;
xxxx://moniestealer.co.nf/nran/gen.php - C&C-сервер;
Email: LLTP@mail2tor.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
LLTP Locker больше не распространяется.
Подробные сведения собраны и указаны по ссылкам.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as LLTP)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

HappyDayzz

HappyDayzz Ransomware

BlackJockerCrypter Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным и переименованным файлам добавляется расширение .happydayzz

HappyDayzz шифрует весь файл и переименовывает файлы по схеме: 
[email].<hex_random>.happydayzz

На данный момент: 
[blackjockercrypter@gmail.com].<hex_random>.happydayzz

Примеры зашифрованных файлов:
[blackjockercrypter@gmail.com].5547467959573176636D55674C53425756258417A0D0A.happydayzz
[blackjockercrypter@gmail.com].5A47567A6123527663223570626D6B3D0D0A.happydayzz

Активность этого крипто-вымогателя пришлась на вторую половину марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: How To Recover Encrypted Files.hta  

Выглядит знакомо? Да, формат записки украден у вымогателей Globe, только вписаны другие контакты. Более того, в одной из итераций Globe3 уже использовалось добавляемое расширение .happydayzz. См. статью о Globe3, обновление от 17 февраля (внизу статьи). 

Содержание записки о выкупе:
YOUR FILES ARE ENCRYPTED!
Contact Us
Email: blackjoclcercrypter@gmail.com
Skype: nsyaneksab.aked
All your files have been encrypted due to a security problem with your PC.
To restore all your files, you need a decryption.
If you want to restore them, write us to the e-mai blackjockercrypter@gmai.com .
In a letter .
You have to pay for decryption in Bitcoins.
The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
In the letter, you will receive instructions to decrypt your files!
In a response letter you will receive the address of Bitcoin-wallet, which is necessary to perform the transfer of funds.
Our tech support is available 24 \ 7
• Write on e-mail, we will help you!
Free decryption as guarantee
Before paying you can send to us up to 2 files for free decryption.
Please note that files must NOT contain valuable information and their total see must be less than 5Mb.
When the transfer is confirmed, you will receive interpreter files to your computer.
After start-interpreter program, all your files will be restored.
Attention!
• Do not rename encrypted fifes.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your fies with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
• Do not attempt to remove the program or run the anti-virus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders are not compatible with other users of your data, because each users unique encryption key

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Связь с нами
Email: blackjoclcercrypter@gmail.com
Skype: nsyaneksab.aked
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК.
Чтобы восстановить все ваши файлы, вам нужно расшифровать.
Если вы хотите восстановить их, напишите нам на email blackjockercrypter@gmai.com.
В письме.
Вы должны заплатить за расшифровку в биткоинах.
Цена зависит от того, как быстро вы напишите нам.
После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
В письме вы получите инструкции по расшифровке ваших файлов!
В ответном письме вы получите адрес биткоин-кошелька, который нужен для перевода средств.
Наша техническая поддержка доступна 24 \ 7
• Пишите на почту, мы вам поможем!
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 2-х номеров для бесплатной расшифровки.
Обратите внимание, что файлы НЕ должны содержать ценную информацию, и их общий объем должен быть менее 5 МБ.
Когда передача будет подтверждена, вы получите файлы переводчика на ваш компьютер.
После запуска программы-интерпретатора все ваши файлы будут восстановлены.
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою плату к нашей), или вы можете стать жертвой мошенничества.
• Не пытайтесь удалить программу или запустить антивирусные инструменты
• Попытки самостоятельно расшифровать файлы приведут к потере ваших данных
• Декодеры не совместимы с другими пользователями ваших данных, потому что у каждого пользователя уникальный ключ шифрования

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Примечательно, что шифрование может меняться. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How To Recover Encrypted Files.hta
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: blackjockercrypter@gmail.com
Skype: nsyaneksab.aked
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>



Примечательно, что happydaayz@aol.com, т.е. адрес с логином happydaayz используется также в крипто-вымогателях, названных GlobeImposter 2.0 Ransomware. 


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as HappyDayzz)
 Topic of Support
 * 

 Thanks: 
 xXToffeeXx
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoDevil

CryptoDevil Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в размере от $20 до $100, чтобы вернуть файлы. Сумма зависит от сроков платежа. Оригинальное название. Разработчик: mutr0. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .devil

Образец этого крипто-вымогателя найден в марте 2017 г. Ориентирован на англоязычных пользователей. Создан для изучения, в образовательных делях, как утверждает сам разработчик.  

Запиской с требованием выкупа выступает экран блокировки с заголовком Ransomware CryptoDevil. 

 

 

Содержание записки о выкупе:
CryptoDevil
Your Files Has Been Encrypted
All your files have been encrypted.
Buy a key to decrypt your files
more instructions forthcoming. - cryptodevil

Key Price
Key Price Or After Hours
1. After 10 Hours Key Price = $20
2. After 24 Hours Key Price = $30
3. After 48 Hours Key Price = $50
4. After 72 Hours Key Price = $100
After 82 hours if you do not buy the key your files will be encrypted for the rest of your life.

Перевод записки на русский язык:
CryptoDevil
Ваши файлы зашифрованы
Все ваши файлы зашифрованы.
Купите ключ для дешифровки ваших файлов.
Больше инструкций. - cryptodevil

Цена Ключа
1. После 10 часов цена ключа = $20
2. После 24 часов цена ключа = $30
3. После 48 часов цена ключа = $50
4. После 72 часов цена ключа = $100
Через 82 часа, если вы не купили ключ, ваши файлы останутся зашифрованы навсегда.

Шифрует файлы и файлы в папках только в той папке, откуда он был запущен. Ранее был известен как блокировщик-вымогатель с тем же названием, просил $20 в биткоинах. Описание и инструкция по удалению раннего блокировщика есть на сайте BC (ссылка). 

Пока в разработке, но может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransomware.cryptodevil.exe
cryptodevil.exe
VideosPornoGratuitos.Scr

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на файл шифровальщика >>  Ещё >>
VirusTotal анализ на файл блокировщика >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as CryptoDevil)
 Write-up, Topic
 * 

 Thanks: 
 xXToffeeXx, MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.