Если вы не видите здесь изображений, то используйте VPN.

среда, 5 апреля 2017 г.

Kripto64

Kripto64 Ransomware
Turkish HTx64 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 500TL (500 турецких лир), чтобы вернуть файлы. Оригинальное название. указанное на файле: Kripto. Только для 64-разрядных систем. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Hidden Tear >> Kripto64 (Turkish HTx64)

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на турецкоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком !!! Dikkat !!! (Внимание).

Содержание записки о выкупе:
UYARI: BİLGİSAYARINIZDAKİ TÜM VERİLER VE DOSYALAR ŞİFRELENDİ!
SİZDE ŞİFRELENEN DOSYALARINıZ İÇİN 500TL BİR DEFAYA MAHSUS BİR ÜCRET TALEP EDİYORUZ. 
BELİRTİLEN ÜCRETİ ÖDEDİĞİNİZ TAKDİRDE SİSTEMİNİZE BAĞLANıYORUZ VE KİLİTLİ DOSYALARıNıZı AÇıYORUZ. 
YıLLARıN VERDİĞİ TECRÜBEYE DAYANARAK SÖYLEYEBİLİRİMKİ DOSYALARıNıZı BİZDEN BAŞKA KİMSE SİZE GERİ VEREMEZ.
İNDİRİLEN VİRÜSE KENDİNİZ ÖZGÜR İRADENİZLE TıKLADıĞıNıZ VE AYRıCA TÜM İŞLEMİ KENDİ BİLGİSAYARINIZ YAPTIĞI İÇİN SUÇ DUYURUSUNDA BULUNMANıZ BİR ŞEY İFADE ETMEZ. 
ÖDEMEYİ ALDıKTAN SONRA BİLGİSAYARıNıZDAKİ TÜM ŞİFRELERİ DOSYALARı AÇıYORUZ VE ALT KATMAN TEMİZLİĞİ YAPıYORUZ VE KALDıĞıNıZ YERDEN DEVAM EDİYORSUNUZ.
REFERANS NUMARANıZ: ÖRNEK REFERANS NUMARASı BİZİMLE İLETİŞİME GEÇERKEN REFERANS NUMARANıZı YAZıNKI SIZIN KİM OLDUĞUNUZU BİLELİM.
Parayı 5 gün içinde yani 06/04/2017 tarihine kadar ödemezseniz bilgisayarınız imha edilecek!

Перевод записки на русский язык:
ВНИМАНИЕ: Все имеющиеся на компьютере файлы были зашифрованы!
За дешифровку файлов от вас требуется единовременный платеж в 500 ТЛ. 
Как только вы заплатите, мы подключимся к вашей системе и разблокируем файлы.
*** пропускаем ***
Если вы не заплатите за 5 дней, до 06/04/2017, то ваш компьютер будет уничтожен!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Kripto.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Python, Client

Python Ransomware

Python-Client Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,3 BTC, чтобы вернуть файлы. Написан на Python, отсюда название. На файле написано: client.exe и enc. 

Обнаружения:
BitDefender -> Trojan.GenericKD.4781742
ESET-NOD32 -> Python/Filecoder.S
TrendMicro -> Ransom_TRESORAS.A

© Генеалогия: предыдущие Python Ransomware >> Python-Client

К зашифрованным файлам добавляется расширение: *нет данных*.

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: NOTE.html

Содержание записки о выкупе:
All of your important images, videos, and files have been encrypted. The only way to get them back is to pay the ransom within 3 hours.
Failure to pay within the time limit will result in the permanent loss of your files.
The only form of payment is bitcoin.
Create an account using one of the following links and pay 0.3 bitcoins to the address: %s.
Coinmama
Cexio
Paxful
Coinbase
CoinCorner

Перевод записки на русский язык:
Все ваши важные изображения, видео и файлы зашифрованы. Только один способ вернуть их - заплатить выкуп в течение 3 часов.
Невыплата в течение срока приведет к безвозвратной потере ваших файлов.
Только один способ оплаты - биткоин.
Создайте аккаунт по одной из следующих ссылок и платите 0.3 биткоина на адрес: %s.
Coinmama
Cexio
Paxful
Coinbase
CoinCorner


Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
NOTE.html
client.exe
Python.exe
dab.exe

<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Karsten Hahn
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

вторник, 4 апреля 2017 г.

FakeWU

FakeWU Ransomware

Fake WindowsUpdater Ransomware 

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим ECB), а затем требует выкуп в 0.02 BTC, чтобы вернуть файлы. Разработчик: FathurFreakz. Среда разработки: Visual Studio 2010. Фальш-имена: WindowsApplication1, WindowsApplication9, WindowsUpdater. Название получил от файла WindowsUpdater.exe с приставкой Fake (фейк, фальшивый). 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: © Генеалогия: GX40 > FakeWU 
К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа имеют заголовок "FILE SECURITY PROTECTED"

Содержание записки о выкупе:
YOUR FILES HAS BEEN ENCRYPTED
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
Now you have the last chance to decrypt your files.
1. Buy Bitcoin (https://en.bitcoin.it/wiki/Buying_bitcoins)
2. Send amount of 0.02 BTC to address: 3BsyRz2scfvXcWRaycPoizEH5hAbDmWcpNE
3. Transaction will take about 15-30 minutes to confirm.
4. When transaction is confirmed, send email to us at ransomwareinc@yopmail.com
5. Write subject of your mail with :
'Restore my files ***'
6. Write content of your mail with :
'Bitcoin payment : (YOUR BITCOIN TRANSACTION ID)
Computer Identifier : *** '
7. We will contact you back with your private key.
button [RESTORE]

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с самым мощным шифрованием и уникальным ключом, созданным для этого компьютера.
Закрытый ключ дешифрования хранится на секретном интернет-сервере и никто не может расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
Сейчас у вас есть последний шанс расшифровать ваши файлы.
1. Купить биткойн (https://en.bitcoin.it/wiki/Buying_bitcoins)
2. Отправьте 0,02 BTC на адрес: 3BsyRz2scfvXcWRaycPoizEH5hAbDmWcpNE
3. Для подтверждения транзакции нужно около 15-30 минут.
4. Когда транзакция подтвердится, напишите нам email на адрес ransomwareinc@yopmail.com.
5. Напишите тему своей почты как:
'Restore my files ***'
6. Напишите содержимое своей почты с помощью:
'Bitcoin payment : (YOUR BITCOIN TRANSACTION ID)
Идентификатор компьютера: *** 
7. В ответ мы пришлем ваш закрытый ключ.
кнопка [RESTORE]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.#vc, .$ac, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .aaf, .ab4, .ac2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes, .aet, .afm, .ai, .aif, .amj, .as, .as3, .asc, .asf, .asm, .asp, .asx, .ati, .avi, .back, .bak, .bat, .bay, .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bkf, .bmp, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .cat, .cb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .cfp, .cgm, .cgn, .ch, .chg, .cht, .clas, .clk, .cmd, .cmx, .cnt, .cntk, .coa, .cpp, .cpt, .cpw, .cpx, .crt, .cs, .csl, .csr, .css, .csv, .cur, .cus, .d07, .dac, .dat, .db, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif, .dip, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsb, .dsf, .dtau, .dtd, .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs, .efsl, .efx, .emd, .eml, .emp, .ens, .ent, .epa, .epb, .eps, .eqb, .ert, .esk, .ess, .esv, .etq, .ets, .exp, .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .gem, .gfi, .gif, .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12, .hbk, .hif, .hpp, .hsr, .html, .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff, .iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int, .intu, .inv, .inx, .ipe, .ipg, .itf, .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .key, .kmo, .kmy, .lay, .lay6, .lcd, .ldc, .ldf, .ldr, .let, .lgb, .lhr, .lid, .lin, .lld, .lmr, .log, .lua, .lz, .m, .m10, .m11, .m12, .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac, .max, .mbsb, .md, .mda, .mdb, .mdf, .mef, .mem, .met, .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .mlc, .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .nap, .nd, .nef, .nl2, .nni, .npc, .nv, .nv2, .oab, .obi, .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc, .ofx, .old, .omf, .op, .orf, .ost, .otg, .otp, .ots, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat, .pcd, .pcif, .pct, .pcx, .pd6, .pdb, .pdd, .pdf, .pem, .per, .pfb, .pfd, .pfx, .pg, .php, .pic, .pl, .plb, .pls, .plt, .pma, .pmd, .png, .pns, .por, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb, .ptdb, .ptk, .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo, .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw, .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rsspptm, .rtf, .rtp, .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .say, .sba, .sbc, .sbd, .sbf, .scd, .sch, .sct, .sdf, .sdy, .seam, .ses, .set, .shw, .sic, .skg, .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .tax, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .text, .tfx, .tga, .tgz, .tif, .tiff, .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv, .zdb, .ziparc, .zipx, .zix, .zka (666 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WindowsUpdater.exe
Transaction-Report.docx.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2-сервер: xxxx://ganedata.co.uk/ransomware/ransomware.php 
***xxxx://ganedata.co.uk/Transaction-Report.docx.exe***
Email: ransomwareinc@yopmail.com - одноразовый анонимный адрес
BTC: 3BsyRz2sdvXcWRaycPoizEH5hAbDmWcpNE
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam
 Thyrex
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

One

One Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует написать на email вымогателей, чтобы вернуть файлы. Известна сумма выкупа в 0,3 BTC. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: NMoreira ⇔ One или NMoreira > One
К зашифрованным файлам добавляется расширение .one

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру. Известно, что шифровальщик атакует малые и средние предприятия Бразилии. 

Записки с требованием выкупа называются: Recupere seus arquivos aqui.txt

Содержание записки о выкупе:
Seus arquivos foram criptografados.
Essa sua chave: *****
Para recupera-los entre em contato pelo nosso email: one@proxy.tg enviando sua chave.
Responderemos seu email em at 24h.

Перевод записки на русский язык:
Ваши файлы зашифрованы.
Это ваш ключ: *****
Для их восстановления пишите на наш email: one@proxy.tg для получения ключа.
Ответим на ваш email через 24 часа.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Recupere seus arquivos aqui.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
one@proxy.tg
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер!
Скачать декриптер для NMoreira + One Ransomware >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as NMoreira)
 Write-up (added April 24, 2017)
 * 
 Thanks: 
 Michael Gillespie‏
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 3 апреля 2017 г.

Xorist-Zixer2

Xorist-Zixer2 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью TEA, а затем требует написать на email вымогателей, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Xorist >> Xorist-Zixer2

К зашифрованным файлам добавляется расширение .zixer2
Имена файлов остаются прежними.

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: HOW TO DECRYPT FILES.TXT

Содержание записки о выкупе:
ATTENTION !
All Your Files Was Encrypted !
E-mail addresses: Datares@india.com

Перевод записки на русский язык:
ВНИМАНИЕ!
Все Ваши Файлы Зашифрованы!
Email-адрес: Datares@india.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.TXT

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Xorist)
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Thyrex
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Faizal

Faizal Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100000 Rp (Индонезийская рупия, IDR), чтобы вернуть файлы. Оригинальное название.

Купюра в 100000 индонезийских рупий

© Генеалогия: HiddenTear >> Faizal 

К зашифрованным файлам добавляется расширение .gembok

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на индонезийских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: PENTING !!!.htm (индонез. ВАЖНО!!!). 


Содержание записки о выкупе:
File-file Anda Pada Folder Document Telah TERKUNCI Dengan Sistem Pengamanan Khusus!!
Untuk Dapat Membukanya Segera Kirimkan Kode Voucher Pulsa Senilai Rp 100.000 Ke Alamat Email: leprogames777@gmail.com

Перевод записки на русский язык:
Ваши файлы, документы и папки заблокированы специальной системой безопасности!!
Для разблокировки надо выслать код ваучера на сумму 100000 рупий на email-адрес: leprogames777@gmail.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Street Racing Club - SETUP.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer, Lawrence Abrams
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Fluffy-TAR

Fluffy-TAR Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,039 BTC, чтобы вернуть файлы. Оригинальное название Fluffy или Fluffy-TAR. Среда разработки: Visual Studio 2015. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.
Картинка принадлежит шифровальщику (найдено в exe-файле)

К зашифрованным файлам добавляется окончание lock75

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа выступают экраны блокировки:

Содержание основного текста о выкупе:
What's happening?
Oh no! Fuffy-TAR has encrypted some of your files! It means they are not lost, but cannot be used until decrypted.
They are "locked", you could say. If you see a file which name ends with "lock75", it means this file is encrypted. The process iseasily reversible but requires a key.
What do I do?
To get your files back, you must buy the decryption key. This payment must be done in Bitcoins, a cryptographic currency. Bitcoin is becoming more and more acessible and nowadays, it is really easy to use bitcoins. See the online interface (button below) for a more detailed introduction to bitcoins. 
To get your files back, please send exactly (or more if you want) 0.039 Bitcoins to this address, BEFORE the countdown below ends:
[1D4yXNh45nur1KVNqnPZ5T7nep5Y1KDbwx]
Uppercase/lowercase matter! Make sure you send to the right address! (you can scan the QR code to copy it)
After sending the payment, wait an hour then click the "Retrieve key automatically" button below.
The software will then receive the key and decrypt ALL encrypted files.
Without the key, it is impossible to decrypt your files. Without the proper payment, it is impossible to get the key.
When the countdown reaches zero, you will lose all encrypted documents.
Please note: If you have an antivirus, disable it now if you don't want to lose your data.
[Decrypt one file for free] [Francais]
[Detailed info and manual key retrieving] [Retrieve key automatically]

Перевод основного текста на русский язык:
Что произошло?
О нет! Fuffy-TAR зашифровал некоторые ваши файлы! Это значит, что они не потеряны, но не могут использоваться, пока не расшифрованы.
Можно сказать, что они "заперты". Если вы видите файл, имя которого заканчивается на «lock75», это означит, что он зашифрован. Этот процесс легко обратим, но требует ключ.
Что мне делать?
Чтобы вернуть свои файлы, вы должны купить ключ дешифрования. Этот платеж нужно сделать в биткойнах - криптовалюте. Биткойн становится все более доступным, и в наши дни очень легко использовать биткойны. См. Онлайн-интерфейс (кнопка ниже) для подробного введения в биткойны.
Чтобы вернуть ваши файлы, отправьте ровно (или больше, если хотите) 0.039 биткойнов по этому адресу, ПРЕЖДЕ, чем закончится обратный отсчет:
[1D4yXNh45nur1KVNqnPZ5T7nep5Y1KDbwx]
Прописные/строчные буквы! Убедитесь, что вы отправили на правильный адрес! (Вы можете сканировать QR-код)
После отправки платежа подождите один час и нажмите кнопку "Retrieve key automatically" ниже.
Затем программа получит ключ и расшифрует ВСЕ зашифрованные файлы.
Без ключа невозможно расшифровать ваши файлы. Без надлежащей оплаты невозможно получить ключ.
Когда обратный отсчет достигнет нуля, вы потеряете все зашифрованные документы.
Обратите внимание: если у вас есть антивирус, отключите его сейчас, если не хотите потерять свои данные.
[Расшифровать один файл бесплатно] [По-французски]
[Подробная информация и извлечение ключей] [Получить ключ автоматически]

 Страницы tor-сайта вымогателей

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .abu, .accdb, .ai, .arp, .arw, .asp, .aspx, .ass, .asset, .ava, .avi,.bas, .bay, .bdcr, .bdcu, .bdd, .bdp, .bds, .bikey, .blend, .bmp, .bpdr, .bpdu, .bsdr, .bsdu, .c, .cc,.cd, .cdr, .cer, .class, .com, .config, .cpp, .cr2, .crt, .crw, .cs, .csv, .cxx, .db, .dbf, .dbx,.dcr, .dd, .dds, .der, .dng, .doc, .docm, .docx, .DTD, .dwg, .dxf, .dxg, .eps, .erf, .fdb, .forge, .gdb,.gif, .groups, .gsd, .gsf, .h, .hpp, .htm, .html, .ims, .indd, .iss, .jar, .java, .jpe, .jpeg, .jpg,.js, .jsp, .kdc, .key, .kwm, .lua, .m, .md, .mdb, .mdf, .mef, .mp3, .mpg, .mrw, .msg, .nef,.nrw, .oab, .obj, .odb, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, .pab, .PAS, .pas, .pdb,.pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .ppk, .ppt, .pptm, .pptx, .ps, .psd, .pst, .psw,  .ptx, .pwm, .py, .r3d, .raf, .rar, .RAW, .raw, .rgx, .rik, .rm, .rtf, .rw2, .rwl, .safe, .sav, .sln,.sql, .srf, .srw, .swf, .swift, .tex, .txt, .vcf, .vsd, .wb2, .wpd, .wps, .xcf, .xlk, .xls, .xlsb,.xlsm, .xlsx, .xml, .zip (163 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Fluffy.exe
fluffy.png

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://3qsp4lc4ajyk4ccb.onion
xxxx://3qsp4lc4ajyk4ccb.onion.cab/
xxxx://3qsp4lc4ajyk4ccb.onion.to/
xxxx://3qsp4lc4ajyk4ccb.onion.to/c.php
xxxx://3qsp4lc4ajyk4ccb.onion.to/w.php
xxxxs://3qsp4lc4ajyk4ccb.onion.casa/
xxxxs://paxful.com/
xxxxs://www.bitpanda.com
xxxxs://www.coinmama.com/
185.100.85.150:80 (Румыния)
192.36.27.5:80 (Швеция)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 GrujaRS
 Thyrex
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *