Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 28 мая 2017 г.

DolphinTear

DolphinTear Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: i-am-a-dolphin. На файле написано: i-am-a-dolphin, версия:  2.0.0.0.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> DolphinTear

К зашифрованным файлам добавляется расширение .dolphin

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на немецкоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: LIES_MICH.txt

Содержание записки о выкупе:
Datei wurde verschlüsselt mit I-AM-A-DOLPHIN 

Перевод записки на русский язык:
Файл был зашифрован c I-AM-A-DOLPHIN

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
i-am-a-dolphin.exe
LIES_MICH.txt

Расположения:
/Desktop/test/LIES_MICH.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> VT + VT + VT + VT
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

1337-Locker

1337-Locker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 (или 256), а затем требует связаться с вымогателем, чтобы вернуть файлы. Оригинальное название: 1337-Locker. На файле написано: Ransomware.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: MyLittleRansomware >> 1337-Locker

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:


Содержание текста о выкупе:
Your personal files has been en-crypted with 1337-Locker.
En-cryption is made with AES-256 key which is impossible to crack.
"DO NOT DELETE" randomly generated files on your desktop. Those are your files.
If you delete them you'll never get your files back.
1337
DO NOT double run this software or you'll self-lock your files and they gonna be un-recoverable.
Don't close the software and keep it running until you de-crypted your files or they gonna be un-recoverable.
You have been warned i'm not responsible if you didn't followed my steps.
If you want to de-crypt your files, simply click "Contact Me" button for more details.
button [Contact Me]

Перевод текста на русский язык:
Ваши личные файлы были зашифрованы с 1337-Locker.
Шифрование сделано с ключом AES-256, который невозможно взломать.
"НЕ УДАЛЯЙТЕ" случайно сгенерированные файлы на рабочем столе. Это ваши файлы.
Если вы удалите их, вы никогда не получите файлы обратно.
1337
Не запускайте эту программу дважды, или вы сами заблокируете свои файлы, и они станут невосстановимы.
Не закрывайте программу и не запускайте её до тех пор, пока вы не закроете ваши файлы, или они не будут восстановлены.
Вы были предупреждены, я не несу ответственности, если вы не сделали эти шаги.
Если вы хотите дешифровать свои файлы, просто нажмите "Contact Me" для получения подробной информации.
кнопка [Contact Me]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
20170510_pdf.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LockedByte

LockedByte Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в $1000 в BTC, чтобы вернуть файлы. Оригинальное название: LockedByte. На файле написано: WindowsFormsApplication1. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется случайное расширение: .[random]
Файлы можно дешифровать. 

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает скринлок, встающий обоями рабочего стола.

Содержание записки о выкупе:
Your files have been encrypted by LockedByte
All your files have been encrypted and are now hold for ransom
To receive your files back you will have to pay 1000 dollars worth of bitcoin to the address:
17UomAvt4YEDwNYdpFjotdm7CV1i8jJ16Q
Good luck having your files back
>:-) 

Перевод записки на русский язык:
Ваши файлы были зашифрованы LockedByte
Все ваши файлы зашифрованы и захвачены для выкупа
Чтобы вернуть файлы, вам надо заплатить биткойны на 1000 долларов по адресу:
17UomAvt4YEDwNYdpFjotdm7CV1i8jJ16Q
Удачи в возврате ваших файлов
>:-) 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LockedByte.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

VevoLocker

VevoLocker Ransomware

(шифровальщик-вымогатель для веб-сайтов)


Этот крипто-вымогатель шифрует данные на взломанных сайтах, а затем требует выкуп в 0.2 BTC, чтобы вернуть файлы. Оригинальное название неизвестно. Используется фраза: Hacked by Vevo. Отсюда название. 
По внешнему виду напоминает известный шифровальщик WanaCrypt0r.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
Ooops, your website have been encrypted!
What happened to mv website ?
Your important website files are encrypted. Many of your .php, .css. .js, and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time! Nobody can decrypt your files without our special decryption service.
Can i recover my website ?
Sure, we guarantee that you can recover all your files safely and easily. But you have not enough time. You can decrypt all your website file safely, how ? You must pay with Bitcoin.
How do i pay ?
Payment is accepted with Bitcoin only, we are not using Paypal. CC, etc. For more information please click [About BitCoin]. For more information, click [How to buy BitCoin]
And send the correct amount to the address specified in below After your payment, send payment receipt to email address [Contact Us], and we will send unlock key to you.
Contact ?
If you need our assistance, send a message by clicking [Contact Us]
Payment 0.2 BTC = 1HkZdCqbCMTLwBKtCqpf7s3R2FFgy3vmUQ
Key [...] 
button [UNLOCK SITE]

Перевод записки на русский язык:
Упс, ваш сайт зашифрован!
Что случилось с веб-сайтом?
Ваши важные файлы сайта зашифрованы. Многие из ваших .php, .css. .js и другие файлы больше не доступны, т.к. они были зашифрованы. Возможно, вы заняты поиском способа восстановить свои файлы, но не тратьте свое время! Никто не может расшифровать ваши файлы без нашей специальной службы расшифровки.
Могу ли я восстановить мой сайт?
Конечно, мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас мало времени. Вы можете безопасно расшифровать все файлы своего сайта, как это сделать? Вы должны заплатить биткоины.
Как заплатить?
Оплата принимается только в биткоинах, мы не используем Paypal, CC и т.д. Для получения дополнительной информации нажмите [About BitCoin]. Для получения дополнительной информации щелкните [How to buy BitCoin]
И отправьте правильную сумму по адресу, указанному ниже. После оплаты, отправьте квитанцию ​​о получении на email-адрес [Contact Us], и мы отправим вам ключ разблокировки.
Как связаться?
Если вам нужна наша помощь, отправьте сообщение, нажав [Contact Us]
Оплата 0.2 BTC = 1HkZdCqbCMTLwBKtCqpf7s3R2FFgy3vmUQ
Ключ [...]
Кнопка [UNLOCK SITE]

Технические детали

Распространяется посредством взлома по RDP, но может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.css. .htm, .html, .js, .php и другие веб-файлы и файлы серверов. 

Файлы, связанные с этим Ransomware:
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://7pkiy4j5sk47qy2u.onion
BTC: 1HkZdCqbCMTLwBKtCqpf7s3R2FFgy3vmUQ
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23 апреля 2018:
BTC: 1N7Nw8dHT4WyPY3CJcZHUVkwbJteV22rLJ
Сумма выкупа: 0.0057 
Новый скриншот >> 
Публикация в СМИ >>
23 апреля этот крипто-вымогатель атаковал сайт канадской провинции о. Принца Эдварда. Сообщается, что обошлось без тяжёлых последствий. 

Обновление от 24 апреля 2018:
BTC: 1MjMSV1TSJ5eyAUg4nY98k19FrntRYZ8gm
Сумма выкупа: 0.1
Email: zakarai0611420990@gmail.com
Новый скриншот >>

Публикация в СМИ >>
24 апреля хакеры под псевдонимом X-zakaria атаковали сайт министерства энергетики и угольной промышленности Украины www.mev.gov.ua и установили этот крипто-вымогатель. Сообщается, что для разрешения данной проблемы была создана рабочая группа с привлечением специалистов по кибербезопасности. Работу сайта планируют восстановить в ближайшее время.
Скриншот официальной страницы в Facebook

В данный момент сайт xxxx://www.mev.gov.ua перенаправляет на адрес xxxx://mpe.kmu.gov.ua
Скриншот сайта mpe.kmu.gov.ua






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 David Montenegro‏
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 27 мая 2017 г.

Dviide

Dviide Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует перейти по адресу, чтобы получить ключ дешифрвоания. Оригинальное название: Dviide
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .dviide

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Dviide
Your important files and documents have been encrypted by Dviide! This means that you will be no longer able to access these files without a key. To get this key go to: xxxxs://dviide.xyz/ or 212.237.25.151
Paste your encryption key here:
[Reset] [Decrypt my files!] [Prove Decryption]

Перевод записки на русский язык:
Dviide
Ваши важные файлы и документы были зашифрованы Dviide! Это значит, что вы больше не сможете получить доступ к этим файлам без ключа. Чтобы получить этот ключ, перейдите по адресу: xxxxs://dviide.xyz/ или 212.237.25.151
Вставьте ключ шифрования здесь:
[Reset] [Decrypt my files!] [Prove Decryption]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Dviide)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

SmartRansom Chinese

SmartRansom

Chinese Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует отсканировать код с экрана и заплатить ему, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: неизвестна.

К фейк-зашифрованным файлам никакое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.

Сначала отображает изображение с девушкой, а затем экран блокировки с текстом на китайском. 

Экран блокировки выступает запиской с требованием выкупа:

Содержание текста о выкупе:
你好
你一定很想知道我是谁
我告诉你吧,我是你爹
我把你电脑里重要文件都加密了
你一定很想打我对不对
扫描屏幕上的二维码,向我付款
芫事后我会给你解密工具
记得把屏幕上方的密钥记下来哦
这样我才能帮你解密嘛

Перевод записки на русский язык:
Привет
Ты хочешь знать, кто я?
Отвечаю, я твой отец.
Я зашифровал твои важные компьютерные файлы 
Ты хочешь узнать как их вернуть? 
Отсканируй двоичный код с экрана, заплати мне.
Я дам тебе инструмент дешифрования.
Не забудь записать ключ из верхней части экрана.
Чтобы я мог помочь тебе расшифровать это.

Экран блокировки можно закрыть с помощью комбинации клавиш Alt+F4. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию, если оно сработает:
.au3, .BMP, .CUR, .doc, .docx, .GIF, .ICO, .JPG, .MID, .MIDI, .pdf, .PNG, .ppt, .pptx, .prn, .psd, .rar, .txt, .WAV, .xls, .xlsx, .zip (22 расширения)
Это файлы MS Office, текстовые файлы, фотографии, музыка, файлы иконок, архивы и пр.

Файлы, связанные с этим Ransomware:
SmartRansom.exe
AArI.jpg

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***www.eyuyan.com***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 26 мая 2017 г.

Crying

Crying Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название Crying, но в записке также называется Cry Ransomware.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Crying

К зашифрованным файлам добавляется расширение .crying

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Информатором о выкупе также выступает экран блокировки, содержащий также вспомогательный информационный экран с вопросами-ответами. 

Содержание записки о выкупе:
Your're Files have been encrypted.
Please read the program to learn how to decrypt your files.
if the program won't open so you can read it. You can start the program again and again until it opens the form with the information displayed.

Перевод записки на русский язык:
Ваши файлы зашифрованы.
Прочитайте программу, чтобы узнать, как расшифровать ваши файлы.
Если программа не откроется, чтобы вы могли ее прочитать. Вы можете запустить программу снова и снова, пока не откроется форма с информацией.

Содержание текста с экрана "Crying":Bitcoin Address:
5Pd3Hwfp8i7RYUVjtcdg4KmWMrT6xoryx
Please Click the button to see what happend to your computer.
Closing this window will result in files being deleted.
button [What Happend?]

Перевод экрана "Crying" на русский язык: Биткоин-адрес:
5Pd3Hwfp8i7RYUVjtcdg4KmWMrT6xoryx
Нажмите кнопку, чтобы узнать, что случилось с вашим компьютером.
Закрытие этого окна приведет к удалению файлов.
Кнопка [What Happend?] (Что случилось)

Содержание текста с экрана "Info":
Q: What has happend to my computer?
A: Your Computer is Infected by "Cry" Ransomware.
---
Q: Can i remove this?
A: Yes, Just send 0.05 Bitcoins to the address on the main page.
---
Q: AnyWay i can get my files back?
A: Yes, Although it's highly unlikely to happen.
---
Q: Why has this happend to me?
A: You downloaded something leaked/Cracked/Downloaded this itself.
---
Q: Is this some type of joke? 
A: Check your files. They all have have the extension .crying
---

Перевод экрана "Info":
В: Что случилось с моим компьютером?
О: Ваш компьютер заражен "Cry" Ransomware.
---
В: Могу ли я удалить это?
О: Да, просто пришлите 0.05 биткоина по адресу на главной странице.
---
В: Как-то ещё я могу вернуть свои файлы?
О: Да, хотя это вряд ли произойдет.
---
В: Почему это случилось со мной?
О: Вы скачали что-то уязвимое/взломанное /само загрузилось.
---
В: Это какая-то шутка?
О: Проверьте файлы. У всех их есть расширение .crying
---

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ECRYING.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *