Если вы не видите здесь изображений, то используйте VPN.

понедельник, 27 марта 2017 г.

WannaCry

WannaCry Ransomware
WannaCryptor Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 0.3 и больше биткоинов, чтобы вернуть файлы. Оригинальные названия: WannaCry и WannaCryptor. Фальш-имя: Message Application. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Wcry > WannaCry > WanaCrypt0r 2.0

ВНИМАНИЕ! Тот WannaCry, который наделал много шума, описан в статье WanaCrypt0r 2.0

К зашифрованным файлам добавляется расширение .WCRY и .WCYR

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

✔ Теперь уже известно, что обе версии WannaCry управлялись одной группой. В распространении шифровальщика участвовала группировка Lazarus. Специалисты Symantec представили целый ряд доказательств связей между WannaCry и Lazarus. Утечка эксплойта EternalBlue позволила злоумышленникам превратить WannaCry в гораздо более мощную угрозу, чем она была до этого.

Записки с требованием выкупа называются: !Please Read Me!.txt

Содержание записки о выкупе:
Q: What's wrong with my files?
A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
If you follow our instructions we guarantee that you can decrypt all your  filesquickly and safely!
Let's start decrypting!
Q: What do I do?
A: First, you need to pay service fees for the decryption.
Please send 0.3 BTC to this bitcoin address: 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
Next, please find the decrypt software on your desktop, an executable file named "!WannaDecryptor!.exe".
If it does not exsit, download the software from the address below. (You may need to disable your antivirus for... https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
rar password: wcry123
Run and follow the instructions!

Перевод на русский язык:
В: Что не так с моими файлами?
A: Упс, ваши важные файлы зашифрованы. Это значит, что вы не сможете получить к ним доступ, пока они не будут расшифрованы.
Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете расшифровать все свои файлы быстро и безопасно!
Давайте начнем расшифровку!
Q: Что мне делать?
A: Во-первых, вам нужно сделать оплату за услуги для расшифровки.
Отправьте 0.3 BTC на этот биткойн-адрес: 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
Затем найдите на своем рабочем столе программу расшифровки, исполняемый файл с именем «!WannaDecryptor!.exe».
Если это не произойдет, загрузите программу с указанного ниже адреса. (Возможно, вам придется отключить антивирус для... 
https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
rar password: wcry123
Выполните и следуйте инструкциям!

Вторым информатором жертвы выступает скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе:
Ooops, your important files are encrypted.
If you see this text, but don't see the "Wanna Decryptor" window, then your antivirus removed the decrypt software or you deleted it from your computer.
If you need your files, you have to recover "Wanna Decryptor" from the antivirus quarantine, or download from the address below:
xxxxs://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
Run "Wanna Decryptor" to decrypt your files!

Перевод записки на русский язык:
Ой, ваши важные файлы зашифрованы.
Если вы видите этот текст, но не видите окно «Wanna Decryptor», то ваш антивирус удалил программу дешифрования или вы удалили его с вашего компьютера.
Если вам нужны ваши файлы, вам нужно вернуть «Wanna Decryptor» из карантина антивируса или загрузить с указанного ниже адреса:
xxxxs://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
Запустите «Wanna Decryptor», чтобы расшифровать ваши файлы!


 
Окна Wanna Decryptor 1.0
Текстовое содержимое окна Wanna Decryptor 1.0

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Теневые копии файлов удаляются командой:
cmd.exe /c start /b vssadmin.exe Delete shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (176 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!WannaDecryptor!.exe
!WannaDecryptor!.exe.lnk
!WannaCryptor!.bmp
!Please Read Me!.txt
папка TaskHost с папками Data и Tor
mks.exe
hptasks.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Symantec. Ransom.Wannacry >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Есть два дешифровщика, но их возможности ограничены: 
1) WannaKey - только для Windows XP (скачать)
2) wanakiwi - для Windows XP, x86 Windows 7, 2003, Vista, Server 2008, 2008 R2 (скачать)
wanakiwi поможет, если ПК не выключался и не перезагружался после атаки WannaCry
Описание >>
 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as WannaCryptor)
 Write-up by Symantec (add. May 23, 2017)
 Video review
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 MalwareHunterTeam
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 26 марта 2017 г.

PyCL, PolyglotCryptor

PolyglotCryptor Ransomware

PyCL Ransomware

Aliases: Dxh26wam, Fatboy

Fatboy RaaS

(шифровальщик-вымогатель, RaaS) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп от 0,2 до 0,3 биткоинов, чтобы вернуть файлы. Шифровальщик написан на Python, но графический интерфейс написан на Delphi. 

Этимология названия
1) Название Dxh26wam Ransomware в данной моей статье от 26 марта этот шифровальщик получил от его основного exe-файла. См. Hybrid-Analysis
2) Название PyCL Ransomware появилось позже в статье Лоуренса Абрамса от 28 марта, т.к. шифровальщик написан на Python и им используется скрипт cl.py. Всё это позволило исследователю назвать его PyCL. Хотя цвет и интерфейс, используемые в этом шифровальщике-вымогателе демонстрируют некоторое сходство с CTB-Locker, но написан он на другом языке, при этом какие-либо сходства в записках о выкупе или в исполняемых файлах отсутствуют. 
3) Появилось собственное название: Fatboy. 
Так как мой блог и сайт ID.Ransomware.RU - это дайджест, то я публикую все названия, которые мне известны, и дополняю сведения по мере из поступления из разных статей и источников. 

© Генеалогия: ✂️ MarsJoke (Polyglot) > PyCL (PolyglotCryptor) 

К зашифрованным файлам добавляется расширение .crypted

Примечательно, что в описанной здесь ранней версии оригинальные файлы не удаляются. Пользователи имеют доступ к своим незашифрованным файлам. Вероятно, это будет исправлено в более новых версиях. 

Ранняя активность этого крипто-вымогателя (или только RaaS) пришлась на конец марта 2017 г. Ориентирован на пользователей разных стран, что помогает распространять его по всему миру. 

Флаги: Нидерланды, Италия, Франция, Германия, Португалия, Испания, Китай, США

Записки с требованием выкупа называются: How_Decrypt_My_Files
Это не сама записка, а ярлык How Decrypt My Files.lnk, который ведёт на файл index.html, скрытый в директории AppData\Roaming\How_Decrypt_My_Files\

Информатором жертвы также выступает экрана блокировки (файл UI.exe) на 8 языках и куче изображений. 

Dxh26wam

Содержание записки о выкупе:
YOUR PERSONAL FILES ARE ENCRYPTED
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
1. Pay amount BTC (about of USD) to address:
2. Transaction will take about 15-30 minutes to confirm.
Decryption will start automatically. Do not: power off computer, run antivirus program, disable internet connection. Failures during key recovery and file decryption may lead to accidental damage on files.
YOUR FILES WILL BE LOST WITHOUT PAYMENT THROUGH: 3 Days 23 Hours 58 Minutes 04 Seconds

Перевод записки на русский язык:
ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с самым мощным шифрованием и уникальным ключом, созданным для этого компьютера. Закрытый ключ дешифрования хранится на секретном интернет-сервере, и никто не сможет расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
1. Сумма платежа BTC (около USD) по адресу: ***
2. Для подтверждения транзакции требуется около 15-30 минут.
Расшифровка начнется автоматически. Не делайте следущего: не выключайте компьютер, не запускайте антивирусную программу, не отключайте интернет-соединение. Неудачи при восстановлении ключей и расшифровке файлов могут привести к случайному повреждению файлов.
ВАШИ ФАЙЛЫ БУДУТ ПОТЕРЯНЫ БЕЗ ПЛАТЕЖА ЧЕРЕЗ: 3 дня 23 часа 58 минут 04 секунд


Тексты на английском, итальянском, немецком и испанском языках

  

Скриншоты страниц:
1. TUTORIAL & GUIDES (Учебник и руководства)
2. BUY BITCOINS WITH CREDIT CARD (Оплата биткоинов с кредиток)
3. SEND BITCOINS (Отправка биткоинов)



Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов EITest и RIG EK, веб-инжектов, фальшивых обновлений, перепакованных и заражённых NSIS-инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Этот Ransomware распространяется как NSIS-инсталлятор, содержащий пакет Python, используемый для шифрования компьютера и руководства по уплате выкупа. Шифровальщик передает на свой C&C-сервер 170.254.236.102 на каждом этапе работы информацию по отладке и статусу работы. 

Вот список сетевых запросов.
...Issues by NSIS Installer
...On Execution of CL.exe to retrieve key and other info
...Begin generating list of files to encrypt.
...End generating list
...Begin Encrypting Files
...End Encrypting Files
...Check if payment has been made
...Begin Decrypting 
...End Decrypting
...Online tutorial

Теневые копи файлов удаляются командой: 
vssadmin.exe delete shadows /all /quiet

В поисках файлов сканируются все диски и сетевые папки. Dxh26wam шифрует файлы с помощью AES-256 с индивидуальным ключом, все ключи шифруются с RSA-2048. Для каждой жертвы создаётся новый Bitcoin-кошелек для уплаты выкупа. 

Шифровальщик определяет IP-адрес ПК жертвы, страну в которой он относится, а затем использует Big Mac Index для расчёта суммы выкупа. С помощью Big Mac Index определяется паритет покупательной способности (ППС). 

★ Для справки:
Индекс Big Mac основан на теории паритета покупательной способности, по которой валютный курс должен уравнивать стоимость корзины товаров в разных странах (т.е. отношение обменных валютных курсов), но вместо корзины берётся один стандартный бутерброд, выпускаемый компанией McDonald’s.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых директорий:
WINDIR, APPDATA, LOCALAPPDATA, ProgramData, ProgramFiles, PROGRAMW6432, $RECYCLE.BIN, ProgramFiles(x86)

Файлы, связанные с этим Ransomware:
How_Decrypt_My_Files
dxh26wam.exe и <random>.exe
cl.exe
ui.exe
mklnk.cmd
CreateShortcut.vbs
How Decrypt My Files.lnk
index.html
png- и jpg-файлы с инструкциями
pyd-файлы
html- и txt-файлы

Расположения: 
%AppData%\Roaming\cl\
%AppData%\Roaming\cl\API-MS-Win-Core-LocalRegistry-L1-1-0.dll
%AppData%\Roaming\cl\btc_address.txt
%AppData%\Roaming\cl\btc_price.txt
%AppData%\Roaming\cl\bz2.pyd
%AppData%\Roaming\cl\cl.exe
%AppData%\Roaming\cl\CreateShortcut.vbs
%AppData%\Roaming\cl\Crypto.Cipher._AES.pyd
%AppData%\Roaming\cl\Crypto.Cipher._DES.pyd
%AppData%\Roaming\cl\Crypto.Cipher._DES3.pyd
%AppData%\Roaming\cl\Crypto.Hash._SHA256.pyd
%AppData%\Roaming\cl\Crypto.Random.OSRNG.winrandom.pyd
%AppData%\Roaming\cl\Crypto.Util.strxor.pyd
%AppData%\Roaming\cl\Crypto.Util._counter.pyd
%AppData%\Roaming\cl\filelist.txt
%AppData%\Roaming\cl\library.zip
%AppData%\Roaming\cl\mklnk.cmd
%AppData%\Roaming\cl\public_key.txt
%AppData%\Roaming\cl\pyexpat.pyd
%AppData%\Roaming\cl\python27.dll
%AppData%\Roaming\cl\pywintypes27.dll
%AppData%\Roaming\cl\remove.cmd
%AppData%\Roaming\cl\select.pyd
%AppData%\Roaming\cl\server.txt
%AppData%\Roaming\cl\subid.txt
%AppData%\Roaming\cl\ui.exe
%AppData%\Roaming\cl\unicodedata.pyd
%AppData%\Roaming\cl\usd_price.txt
%AppData%\Roaming\cl\user.txt
%AppData%\Roaming\cl\win32api.pyd
%AppData%\Roaming\cl\win32pdh.pyd
%AppData%\Roaming\cl\win32pipe.pyd
%AppData%\Roaming\cl\win32wnet.pyd
%AppData%\Roaming\cl\_ctypes.pyd
%AppData%\Roaming\cl\_hashlib.pyd
%AppData%\Roaming\cl\_nenrgarxmr.list
%AppData%\Roaming\cl\_socket.pyd
%AppData%\Roaming\cl\_ssl.pyd\
%AppData%\Roaming\How_Decrypt_My_Files\
%AppData%\Roaming\How_Decrypt_My_Files\img\
%AppData%\Roaming\How_Decrypt_My_Files\img\1.png
%AppData%\Roaming\How_Decrypt_My_Files\img\2.png
%AppData%\Roaming\How_Decrypt_My_Files\img\4.png
%AppData%\Roaming\How_Decrypt_My_Files\img\5.png
%AppData%\Roaming\How_Decrypt_My_Files\img\6.png
%AppData%\Roaming\How_Decrypt_My_Files\img\arrow.png
%AppData%\Roaming\How_Decrypt_My_Files\img\bitpanda.png
%AppData%\Roaming\How_Decrypt_My_Files\img\blockchain-send1.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\blockchain-send2.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\blockchain-send3.png
%AppData%\Roaming\How_Decrypt_My_Files\img\cex.png
%AppData%\Roaming\How_Decrypt_My_Files\img\coinbase.png
%AppData%\Roaming\How_Decrypt_My_Files\img\coinhouse.png
%AppData%\Roaming\How_Decrypt_My_Files\img\coinmama.png
%AppData%\Roaming\How_Decrypt_My_Files\img\exchange.png
%AppData%\Roaming\How_Decrypt_My_Files\img\help.png
%AppData%\Roaming\How_Decrypt_My_Files\img\ui_main.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\ui_main_end.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\warning.png
%AppData%\Roaming\How_Decrypt_My_Files\index.html
%AppData%\Roaming\How_Decrypt_My_Files\pay_creditcard.html
%AppData%\Roaming\How_Decrypt_My_Files\read_me.txt
%AppData%\Roaming\How_Decrypt_My_Files\send_btc.html
%AppData%\Roaming\How_Decrypt_My_Files\style.css
%UserProfile%\Desktop\How Decrypt My Files.lnk
%TEMP%\nsp9667.tmp\INetC.dll

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cl %AppData%\Roaming\cl\cl.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
170.254.236.102:80 (Уругвай)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT на cl.exe >> + VT на ui.exe >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Активное распространение началось после начала продаж RaaS. 
Может распространяться по всему миру. 


Обновление от 5 мая 2017:
Dxh26wam (PyCL) > Fatboy RaaS
Подробный обзор >>
Статья о Fatboy >>
Статья о Big Max Index >>


Реальный вариант от 5 июня 2017: 
Расширение: .crypted
BTC: 141HBQKuATwde5ermbigvcSn12XCYJRqmM
Сумма выкупа: 0.07 BTC ($169.17). Сообщение пришло из Франции. 
Согласно графику курса биткоинов этот случай вымогательства пришелся на начало июня 2017 года. См. соотношение: 1BTC ~ $2417 без учета Big Mac Index, описанного выше. После того, как пострадавшие прислали файлы, оказалось, что дата шифрования файлов - 5 июня 2017 года. 

Запиской с требованием выкупа выступает экран блокировки. 
Ориентирован на пользователей, говорящих на следующих языках:  английском, китайском, испанском, немецком, португальском, итальянском, французском, голландском. 


Содержание записки о выкупе:
VOS FICHIERS PERSONNELS SONT CRYPTÉS
Vos documents, photos, bases de données et autres fichiers importants ont été cryptés avec le plus fort cryptage et la clé unique, générés pour cet ordinateur. La clé de déchiffrement privée est stockée sur un serveur Internet secret et personne ne peut décrypter vos fichiers jusqu'à ce que vous payez et obtenez la clé privée.
1. Payer le montant 0.07 BTC (environ 169.17 USD) à l'adresse: 
[141HBQKuATwde5ermbigvcSn12XCYJRqmM] [Proceed to Payment]
2. La transaction prendra environ 15-30 minutes pour confirmer. [Decrypt Demo File]
Le déchiffrement démarre automatiquement. Ne pas: éteindre l'ordinateur, exécuter un programme antivirus, désactiver la connexion Internet. Les défaillances pendant la récupération des clés et le déchiffrement des fichiers peuvent entraîner des dommages accidentels sur les fichiers.
VOS FICHIERS SERONT PERDUS SANS PAIEMENT PAR: 3 days 23 Hours 51 Minutes 59 Seconds

Перевод записки на русский язык:
ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Ваши документы, фотографии, базы данных и другие важные файлы зашифрованы с самым надежным шифрованием и уникальным ключом, созданным для этого компьютера. Закрытый ключ дешифрования хранится на секретном интернет-сервере, и никто не сможет расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
1. Оплатите 0.07 BTC (около 169.17 долларов) на адрес:
[141HBQKuATwde5ermbigvcSn12XCYJRqmM] [Перейти к оплате]
2. Подтверждение транзакции займет около 15-30 минут. [Расшифровать демо файл]
Расшифровка начнется автоматически. Нельзя: выключать компьютер, запускать антивирус, отключать интернет-соединение. Сбои при восстановлении ключей и расшифровке файлов могут привести к  повреждению файлов.
ВАШИ ФАЙЛЫ БЕЗ ОПЛАТЫ БУДУТ УТРАЧЕНЫ: 3 дня 23 часа 51 минута 59 секунд





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PyCL)
 Write-up on BC (added March 29, 2017)
 Video review 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Alex Svirid, GrujaRS, Emmanuel_ADC-Soft, S!Ri
 Andrew Ivanov (article author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 25 марта 2017 г.

Locker-Pay

Locker-Pay Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать сколько заплатить и как вернуть файлы. Оригинальное название. Разработчик: windo из Польши, ранее сделавший Meteoritan. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Meteoritan > Locker-Pay

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: your_system_has_been_locked_INSTRUCTION.txt

Содержание записки о выкупе:
Your system has been locked!
All of your files will be deleted. If you want to unlock your computer, you must have unlocking key. It's very easy =)
You have 48 hours to buy unlocking key, after your key will be deleted, and your hard disk will be formatted!
Reboot isn't helpful, if you restart the computer, you have 2 hours less time to unlock your computer.
How can I get unlocking key? Follow this steps
---
1. Send e-mail to lockerpay64©yandex.ru. In e-mail write your ID.
In turning e-mail you get a value of your key in bitcoins.
2. Get Bitcoins. Bitcoin is a cryptovalute, which can pay. Use these sites: coinbase.com, btc.com, bitgo.com, strongcoin.com
3. Pay
4. In 24 hours you get the unlocking key. If you don't see e-mail, check SPAM catalogue.
5. Enter your key in Command Prompt. Use TAB+ALT combination to switch program.
---
Your ID: locker-pay-asdr32qwe2sa2-18468
LOCKER-PAY Ramsomware 0.1 build 10

Перевод записки на русский язык:
Ваша система заблокирована!
Все ваши файлы будут удалены. Если хотите разблокировать компьютер, то вам нужен ключ разблокировки. Это просто =)
У вас есть 48 часов, чтобы купить ключ разблокировки, после этого ваш ключ будет удален, а жесткий диск отформатирован!
Перезагрузка не поможет, если перезагрузите компьютер, то у вас будет на 2 часа меньше времени для разблокировки компьютера.
Как я мне получить ключ разблокировки? Следуйте этим инструкциям
---
1. Отправьте письмо на lockerpay64©yandex.ru. В email напишите свой ID.
При ответе по email вы получите значение вашего ключа в биткойнах.
2. Получите биткойны. Биткойн - это криптовалюта, которой можно платить. Используйте эти сайты: coinbase.com, btc.com, bitgo.com, strongcoin.com
3. Оплатите
4. Через 24 часа вы получите ключ разблокировки. Если не видите e-mail, проверьте каталог SPAM.
5. Введите свой ключ в командной строке. Используйте комбинацию TAB+ALT для переключения программы.
---
Ваш ID: locker-pay-asdr32qwe2sa2-18468
LOCKER-PAY Ramsomware 0.1 build 10


Другим информатором жертвы выступает экран, имитирующий административное извещение (красные буквы на чёрном фоне). 

Запускается командой:
C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe /c title Your system has been locked!

Содержание извещения то же, что и в записке. 

На самом деле Locker-Pay не шифрует, только пугает и завершает несколько процессов в системе. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
your_system_has_been_locked_INSTRUCTION.txt
locked.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
lockerpay64@yandex.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Jiri Kropac
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 24 марта 2017 г.

SADStory

SADStory Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем помещает их в специальный каталог и требует связаться по email с вымогателями, чтобы вернуть файлы. Оригинальное название. Написан на Python. Разработчик: MAFIA MALWARE INDONESIA. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: MafiaWare > CryPySADStory
См. также KimcilWare, MireWare по ссылкам. 

К зашифрованным SADStory файлам добавляется расширение .sad

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: SADStory_README_FOR_DECRYPT.txt

Содержание записки о выкупе:
! ! ! WARNING ! ! !
All your files are encrypted by SADStory with strong chiphers.
Decrypting of your files is only possible with the decryption program, which is on our secret server.
All encrypted files are moved to __SAD STORY FILES__ directory and renamed to unique random name.
Note that every 6 hours, a random file is permanently deleted. The faster you are, the less files you will lose.
Also, in 96 hours, the key will be permanently deleted and there will be no way of recovering your files.
To receive your decryption program contact one of the emails:
1. tuyuljahat@hotmail.com
2. lucifer.fool@yandex.com
Just inform your identification ID and we will give you next instruction.
Your personal identification id: SADSTORY***

Перевод записки на русский язык:
! ! ! ПРЕДУПРЕЖДЕНИЕ! ! !
Все ваши файлы зашифрованы SADStory с сильными шифром.
Расшифровка ваших файлов возможна только с декриптером, который есть на нашем секретном сервере.
Все зашифрованные файлы собираются в папку __SAD STORY FILES__ и получают уникальное случайное имя.
Заметьте, каждые 6 часов безвозвратно удаляется случайный файл. Поторопитесь, меньше файлов потеряете.
Так, через 96 часов ключ будет удален окончательно и ваши файлы будет не вернуть.
Чтобы получить декриптер, свяжитесь по одному из email:
1. tuyuljahat@hotmail.com
2. lucifer.fool@yandex.com
Просто сообщите свой ID и мы дадим вам следующую инструкцию.
Ваш идентификационный ID: SADSTORY ***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .3gp, .7z, .accdb, .aes, .ai,  .apk, .ARC, .arch00, .arw, .asc, .asf, .asm, .asp, .asset, .avi, .bak, .bar, .bat, .bay, .bc6, .bc7, .big, .bik, .biz, .bkf, .bkp, .blob, .bmp, .brd, .bsa, .cas, .cdr, .cer, .cfr, .cgm, .class, .cmd, .cpp, .cr2, .crt, .crw, .csr, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbf, .dbfv, .dch, .dcr, .der, .desc, .dif, .dip, .djv, .djvu, .dmp, .dng, .doc, .docb, .docm, .docm, .docx, .DOT, .dotm, .dotx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .fla, .flv, .forge, .fos, .fpk, .frm, .fsh, .gho, .gpg, .hkx, .htm, .html, .hwp, .ibank, .ibd, .indd, .itm, .iwd, .iwi, .jar, .java, .jpeg, .jpeg, .jpg, .js, .kdb, .kdc, .key, .kf, .lay, .lay6, .layout, .lbf, .ldf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .mdb, .mdf, .mef, .menu, .mid, .mkv, .mlx, .mml, .mov, .mp3, .mpeg, .mpg, .mpqge, .mrwref, .ms11 (Security copy), .MYD, .MYI, .ncf, .NEF, .nrw, .ntl, .ocx, .odb, .odc, .odm, .odp, .ods, .ods, .odt, .orf, .otg, .ots, .ott, .p12, .p7b, .p7c, .pak, .PAQ, .pas, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppam, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qcow2, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sch, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .snx, .sql, .SQLITE3, .SQLITEDB, .sr2, .srf, .srt, .srw, .stc, .stw, .sum, .svg, .swf, .sxc, .sxm, .sxw, .t12, .t13, .tar, .tar.bz2, .tar.gz, .tax, .tbk, .tgz, .tif, .tiff, .tor,.txt, .unity3d, .uot, .upk, .upx, .vbs, .vdf, .vdi, .vfs0, .vmdk, .vmx, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlc, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xlw, .xml, .xxx, .zip, .ztmp (275 расширений) и файлы wallet.dat.

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, веб-страницы, музыка, видео, файлы образов, архивы, бэкапы и пр.

Файлы, связанные с этим Ransomware:
ReadMe-how_to_get_free_office365-idGHDGFGf426142GE25.pdf.exe
<random>.pdf.exe
mw.exe
__SAD STORY FILES__
SADStory_README_FOR_DECRYPT.txt

Расположения:
%TEMP%\mw.exe
%Desktop%\SADStory_README_FOR_DECRYPT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxx://ow.ly/***
xxx://wayofwines.com/ReadMe.php***
xxx://www.lilywho.ie***
tuyuljahat@hotmail.com - ранее использовался в KimcilWare и Mireware
lucifer.fool@yandex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as SADStory)
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *