Если вы не видите здесь изображений, то используйте VPN.

понедельник, 22 мая 2017 г.

Damoclis gladius

Damoclis Gladius Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Damoclis gladius Ransomeware
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© ГенеалогияX3M ⟺ Nemesis ⟺ СryptON > Cry9, Cry36, Cry128 > Damoclis gladius

К зашифрованным файлам добавляется расширение .damoclis

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOWTODECRYPTFILES.html 

Содержание записки о выкупе:
ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED
Damoclis gladius Ransomeware
To decrypt your files you need to buy the special software - «Damoclis gladius decryptor»
To recover data, follow the instructions!
You can find out the details/ask questions in the e-mail:
ransomed@india.com
You can find out the details/ask questions in the chat:
xxxx://45pivhvier7acz3d.onion.to (not need Tor)
xxxxs://45pivhvier7acz3d.onion.cab (not need Tor)
xxxx://45pivhvier7acz3d.onion (need Tor)
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address https://www.torproject.orq/download/download-easv.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://45pivhvier7acz3d.onion/ in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
// If you have any problems installing or using please visit the video tutorial xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q
Your personal identification ID: 369209069

Перевод записки на русский язык:
ВСЕ ВАША РАБОТЫ И ПЕРСОНАЛЬНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Damoclis gladius Ransomeware
Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - «Damoclis gladius decryptor»
Чтобы восстановить данные, следуйте инструкциям!
Вы можете узнать подробности / задать вопросы по email:
ransomed@india.com
Вы можете узнать подробности / задать вопросы в чате:
xxxx://45pivhvier7acz3d.onion.to (не нужен Tor)
xxxxs://45pivhvier7acz3d.onion.cab (не нужен Tor)
xxxx://45pivhvier7acz3d.onion (нужен Tor)
Если ресурс недоступен долгое время, установите и используйте Tor-браузер:
1. Запустите свой интернет-браузер.
2. Введите или скопируйте адрес https: //www.torproject.orq/download/download-easv.html в адресную строку вашего браузера и нажмите клавишу ВВОД
3. На сайте будет предложено загрузить Tor-браузер, загрузите и установите его. Запустите.
4. Подключитесь кнопкой "Connect" (если вы используете английскую версию)
5. После подключения откроется обычное окно Tor-браузера
6. Введите или скопируйте адрес xxxx://45pivhvier7acz3d.onion/ в адресную строку Tor-браузера и нажмите клавишу ВВОД
7. Подождите, пока сайт загрузится.
// Если у вас возникли проблемы с установкой или использованием, посетите видеоурок xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q
Ваш личный идентификатор ID: 369209069

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOWTODECRYPTFILES.html 
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ransomed@india.com
Tor: xxxx://45pivhvier7acz3d.onion.to
xxxxs://45pivhvier7acz3d.onion.cab
xxxx://45pivhvier7acz3d.onion
См. ниже результаты анализов.


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.





=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


См. выше Генеалогия


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 июля 2018:
Email: ransomed@india.com
Bitmessage: BM-2cWzhoNFbjQ3X8pULiWSyKhc6dedQ54zQ1
Tor-URL: xxxxs://cryptxf3zamy5kfz.tor2web.link

xxxxs://cryptxf3zamy5kfz.onion.plus
xxxx://cryptxf3zamy5kfz.onion/
➤ Содержание записки:
You can learn more / request e-mail:
ransomed@india.com
You can learn more/questions in the chat:
xxxxs://cryptxf3zamy5kfz.tor2web.link (not need Tor)
xxxxs://cryptxf3zamy5kfz.onion.plus (not need Tor)
xxxx://cryptxf3zamy5kfz.onion/ (need Tor)
You can learn more problem out bitmessage:
xxxxs://bitmsg.me/ BM-2cWzhoNFbjQ3X8pULiWSyKhc6dedQ54zQ1
- If the resource is unavailable for a long time to install and use the terms of reference of the browser:
1. + Start the Internet browser
2. + Type or copy the address xxxxs://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. + On the website you will be prompted to download the Tor browser, download and install it. To work.
4. + Connection, click "connect" (using English version)
5. + After connecting, open a normal window Tor-browser
6. + Type or copy the address xxxx://cryptxf3zamy5kfz.onion/ in the address bar of Tor-browser and press key ENTER
7. + Wait for the download site
// + If you have any problems with installation or usage, please visit the video: 
xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q
Топик на форуме >>





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 victim in the topic of support
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 21 мая 2017 г.

Decryption Assistant

Decryption Assistant Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное названия: FlashPlayerUpdate и Decryption Assistant.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Decryption Assistant


К зашифрованным файлам добавляется расширение .pwned

Активность этого крипто-вымогателя пришлась на вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста о выкупе:
YOUR OPERATING SYSTEM AND DATA HAS BEEN COMPROMISED
All important data including your personal pictures, music, videos, documents and many more has been encrypted. The data cannot be recovered unless a fee has been paid to decrypt them.
The private decryption key for the data has been stored on our server and will be sent to this computer once the payment is sent. Any attempt to removing this software will lead an immediate destruction to the private key.
To obtain your decryption key, you will first need a bitcoin wallet to send us the payment. You can start the process by clicking <Decrypt Files> which will start the payment process. 
We advise you immediately buy the bitcoins before the countdown timer drops to zero which will immediately destroy your private key.
button [Payment Status]
button [Decrypt Files]

Перевод текста на русский язык:
ВАША ОПЕРАЦИОННАЯ СИСТЕМА И ДАННЫЕ CКОМПРОМЕТИРОВАНЫ
Все важные данные, включая ваши личные фотографии, музыку, видео, документы и многое другое, были зашифрованы. Данные не будут восстановлены, если не получена плата за их дешифрование.
Закрытый ключ дешифрования данных хранится на нашем сервере и будет отправлен на этот компьютер после получения платежа. Любая попытка удаления этой программы приведет к немедленному уничтожению закрытого ключа.
Чтобы получить ключ дешифрования, вам нужно завести биткоин-кошелек, чтобы отправить нам платеж. Вы можете начать процесс, нажав <Decrypt Files>, который запустит процесс оплаты.
Мы советуем вам срочно купить биткоины до того, как таймер обнулится, что немедленно уничтожит ваш закрытый ключ.
Кнопка [Payment Status] (Статус платежа)
Кнопка [Decrypt Files] (Расшифровать файлы)

Пока находится в разработке, но после доработки может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений (для FlashPlayer в частности), перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx,.exe, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (21 расширение). 

Это документы MS Office, OpenOffice, PDF, файлы веб-страниц, проекты Visual Studio, текстовые файлы, базы данных, фотографии, файлы образов и пр.

Файлы, связанные с этим Ransomware:
FlashPlayerUpdate.exe
key.txt
\Downloads\HANSA

Расположения:
c:\chicken\ - папка для шифрования
\Desktop\key.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

D2+D

D2+D Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Предлагает также пожертвовать деньги в вымогательский проект. Обещает скидки бедным (малоимущим) жертвам. Оригинальное название: D2+D Ransomware, указано в заголовке экрана блокировки. Другие названия указаны на файле: WindowsApp1 и The Game v.10. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К незашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на начало вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста о выкупе:
WHAT THE HELL IS HAPPENING?
Your files are encrypted, you cannot close this progarm unless you have the key! This is a ransomware
What can i do?
You have to buy the key! don't worry
Customers are treated well, we are reliable
Can you decrypt my files?
Yes, we can but we won't do it
Enter the key yourself
You can check the F.A.Q in the link given below
http://bobdinh.hol.es
REMEMBER, THE TIME IS LIMITED you only have 3 day(s) to buy the key!
HOW TO PURCHASE?
Buy bitcoins and send to: DlEifiefiinn34n2i3 or buy me some cup of coffe or we could hang out together that is fine ! :)
don't know how to create bitcoin account? check the F.A.Q or hang out with me!
[Send with love:] DlEifiefiinn34n2i3
Send 100$ worth of bitcoin, special offer: 50% discount for first 3 customers fot poor people offer: 90% off!!!
feel free to donate now: [Donate to D2+D ransom project now!!]
button [Unlock now!]

Перевод текста на русский язык:
ЧТО ЗА ЧЕРТОВЩИНА?
Твои файлы зашифрованы, ты не сможешь закрыть эту программу, если у вас нет ключа! Это программа-вымогатель
Что мне делать?
Ты должен купить ключ! Не волнуйся
Клиентов вполне излечим, мы надежны
Можете ли вы расшифровать мои файлы?
Да, мы можем, но мы не будем этого делать
Введи ключ самостоятельно
Ты можешь проверить F.A.Q в приведенной ниже ссылке
http://bobdinh.hol.es
ПОМНИ, ВРЕМЯ ОГРАНИЧЕНО, у тебя есть только 3 дня, чтобы купить ключ!
КАК КУПИТЬ?
Купи биткойны и отправь по адресу: DlEifiefiinn34n2i3 или купи мне чашку кофе, или мы сможем пообщаться, и это прекрасно! :)
Не знаешь, как создать биткоин-аккаунт? Проверь F.A.Q или пообщайся со мной!
[Отправить с любовью:] DlEifiefiinn34n2i3
Отправь биткоины на 100$, спец-предложение: 50% скидка для первых 3-х клиентов, для малоимущих: 90% скидка !!!
Не стесняйся пожертвовать сейчас: [Пожертвуй в проект D2+D выкупа сейчас !!]
Кнопка [Разблокировать сейчас!]

Код разблокировки: 215249148

Пока находится в разработке, после доработки может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
The Game v.10.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer‏
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 20 мая 2017 г.

VisionCrypt

VisionCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $25, чтобы вернуть файлы. Оригинальные названия: VisionCrypt 2.0 и VisionCryptor.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .VisionCrypt, но у оригинального расширения файла при этом заменяется "точка", отделяющая расширение от файла, на "нижнее подчеркивание". Таким образом шаблон добавления расширения к зашифрованным файлам можно записать так: _[original_extension].VisionCrypt

Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
**CLOSING OF THIS PROGRAM WILL REMOVE ALL CHANCE OF FILE RETRIEVAL**
---
What happened to my files?
---
Many of your pictures, documents, databases and all other important files are no longer accessible, as they have been encrypted using AES-128 government grade encryption.
---
Can I recover my files?
---
Of course you can! But be quick, time is running out. (Refer to countdown clock)
You have two days (48 Hours) to deliver the payment. After payment, refer to the <Contact Us> button, and email us the Payment Hash, along with your victim ID.
The payment will then be confirmed, and decryption key will be sent to you.
You will then have all your files back!
***

Перевод записки на русский язык:
** ЗАКРЫТИЕ ЭТОЙ ПРОГРАММЫ УДАЛИТ ВСЕ ШАНСЫ ВЕРНУТЬ ФАЙЛЫ**
---
Что случилось с моими файлами?
---
Многие из ваших фотографий, документов, баз данных и всех других важных файлов теперь недоступны, т.к. они были зашифрованы с правительственным шифрованием AES-128.
---
Могу ли я восстановить мои файлы?
---
Конечно можете! Но торопитесь, время уходит. (См. таймер времени)
У вас есть два дня (48 часов) для проведения платежа. После оплаты обратитесь к кнопке <Contact Us> и отправьте нам по email платежный хэш вместе с вашим ID жертвы.
После этого платеж будет подтвержде, и ключ дешифрования будет отправлен вам.
После этого вы получите все свои файлы!
***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
VisionCryptor.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: VisionDep@sigaint.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VisionCrypt)
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer‏
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 19 мая 2017 г.

Maysomware

Maysomware Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/rsa, а затем требует выкуп в 1,5 BTC, чтобы вернуть файлы. Оригинальные названия: May Ransomware, Maysomware и Ransomware. Таким образом это также "Майский вымогатель". 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляются расширения 
.maysomware - версия от 19 мая 2017
.locked - версия от 15 мая 2017

Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
Restore_maysomware_files.html - версия от 19 мая 2017
Restore_your_files.txt - версия от 15 мая 2017
Записка от от 19 мая 2017
Код записки от от 15 мая 2017

Содержание записки о выкупе:
RANSOMWARE
All your files have been encrypted with May Ransomware. For encrypt we use AES256+RSA4096. You have 5 days for decrypt your files. Don`t try recover your files.
Decrypt Manual
1) Make your bitcoin wallet on block.io or blockchain.info and buy 1,5 bitcoins on BTC Exchange Sites (https://goo.gl/1PE96T)
2) Send 1,5 bitcoin to adress 3Gw6b57A3E34nAph3mzGbKAj8sTSgD8GP9
3) Write to us on email decrypt@mayofware.solutions. In subject write this identificator *****
4) After receive bitcoins and your email, we contact with you.
— YOU MIGHT DECRYPT 2 FILES FOR FREE. Send it to email decrypt@mayofware.solutions. In Subject, write your UNIQUE Identificator.

Перевод записки на русский язык:
RANSOMWARE
Все ваши файлы были зашифрованы с May Ransomware. Для шифрования мы использовали AES256 + RSA4096. У вас есть 5 дней для дешифровки ваших файлов. Не пытайтесь восстановить свои файлы.
Руководство по дешифровке
1) Сделайте свой биткойн-кошелек на block.io или blockchain.info и купите 1,5 биткойна на сайтах BTC Exchange (https://goo.gl/1PE96T)
2) Отправьте 1,5 биткойн на адрес 3Gw6b57A3E34nAph3mzGbKAj8sTSgD8GP9
3) Напишите нам на email decrypt@mayofware.solutions. В теме укажите этот идентификатор *****
4) После получения биткойнов и вашего email мы свяжемся с вами.
- ВЫ МОЖЕТЕ ДЕШИФРОВАТЬ 2 ФАЙЛА БЕСПЛАТНО. Отправьте их на email decrypt@mayofware.solutions. В теме напишите свой УНИКАЛЬНЫЙ идентификатор.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Restore_maysomware_files.html
May.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***mayofware.solutions/1/target.php***
decrypt@mayofware.solutionsСм. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 2 июня 2017:
Записка: Restore_aeroware_files.html
В записки много ошибок в пунктуации. 
Расширение: .aeroware
Email: decrypt@mayofware.solutions
Содержание записки: 
Files Decryption
Manual
All your files have been encrypted with Aeroware Ransomware. For encrypt we use AES256+RSA2048. You have 6 days for decrypt your files. DON'T DELETE ".MANIFEST" FILES. Don't try recover your files.
1) Make your bitcoin wallet on block.io or blockchain.info and buy 2 bitcoins on BTC Exchange Sites (https://goo.gl/1PE96T)
2) Send 2 bitcoin to adress 1FHvMqZCftgDx2K7ehrkwF78kc24V82z7T
3) Write to us on email decrypt@mayofware.solutions. In subject write this identificator '06f63054391d43fbb55f6450839879d4'
4) After receive bitcoins and your email, we contact with you.
— YOU MIGHT DECRYPT 2 FILES FOR FREE. Send it to email decrypt@mayofware.solutions. In Subject, write your UNIQUE Identificator.
В записке упомянуты некоторые специальные файлы, которые не нужно удалять. 




 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Maysomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 *
 *
 
Это 555-й пост в блоге!!!

© Amigo-A (Andrew Ivanov): All blog articles.

WhatAFuck

Whatafuck Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email, чтобы вернуть файлы. Оригинальное название неизвестно. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется +++ helppppppp@meta.ua

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: WHATAFUCK.txt

Содержание записки о выкупе:
Для расшифровки пишите: helppppppp@meta.ua Укажите ПИН: 65


Технические детали

Распространяется через RDP, но может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует системную утилиту wevtutil.exe для управления журналом событий, т.е. подчищает за собой, чтобы нельзя было отследить что было сделано. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WHATAFUCK.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WhatAFuck)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 18 мая 2017 г.

XData

XData Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: XData. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: AES-NI (stolen code) > ☠ XData

К зашифрованным файлам добавляется расширение .~xdata~

Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи уже было известно о пострадавших из Украины и в меньшей степени из России. 
Ниже в комментариях можно прочитать, как проходила атака. Для наглядности график от компании Eset. 



Записка с требованием выкупа называется: HOW_CAN_I_DECRYPT_MY_FILES.txt

Содержание записки о выкупе:
Your important files were encrypted on this computer: documents, databases, photos, videos, etc.
Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.
To retrieve the private key and tool find your pc key file with '.key.~xdata~' extension.
Depending on your operation system version and personal settings, you can find it in:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
folders (eg. 'C:/PC-TTT54M#45CD.key.~xdata~').
Then send it to one of following email addresses:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Your ID: ******
Do not worry if you did not find key file, anyway contact for support.

Перевод записки на русский язык:
Ваши важные файлы зашифрованы на этом компьютере: документы, базы данных, фото, видео и т.д.
Шифрование сделано с уникальным открытым ключом для этого компьютера.
Чтобы расшифровать файлы, вам надо получить закрытый ключ и специальный инструмент.
Чтобы получить закрытый ключ и инструмент, найдите ключевой файл вашего ПК с расширением '.key.~xdata~'.
В зависимости от версии вашей операционной системы и личных настроек вы можете найти его в папках:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
(напр. 'C:/PC-TTT54M#45CD.key.~xdata~').
Затем отправьте его на один из следующих email-адресов:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Ваш ID: ******
Не беспокойтесь, если вы не нашли ключевой файл, обратитесь в службу поддержки.

👉 Записка о выкупе, email и ключи очень похожи на используемые ранее AES-NI, но известно, что его разработчик не использовал XData для атаки, значит исходники были у него украдены в период с февраля по март, т.е до апрельской версии. Это подтвердилось 24-25 мая, см. статью на BC

Особенности и отличия от AES-NI:
- отсутствие региональных ограничений, имеющихся в AES-NI;
- отсутствие C&C-сервера в Tor-сети;
- отсутствие инжекта (возможности внедряться) в выполняющийся процесс;
- не пишет ИД ключа и оригинальное имя файла в зашифрованный файл.

По сути это урезанная оффлайн-версия AES-NI, но со всем рабочим функционалом.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
msaddc.exe
mscomrpc.exe
msdcom.exe
msdns.exe
mssecsvc.exe
mssql.exe
HOW_CAN_I_DECRYPT_MY_FILES.txt
.key.~xdata~

Расположения:
C:/
C:/ProgramData
C:/Documents and settings/All Users/Application Data
/Desktop

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать XDataDecrypter для дешифровки >>
Инструкция по дешифровке прилагается. 
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as XData)
 Write-up (add. May 25, 2017)
 Video review 
 Thanks: 
 S! Ri
 Michael Gillespie
 MalwareHunterTeam
 GrujaRS
 ESET

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *