Если вы не видите здесь изображений, то используйте VPN.

четверг, 6 июля 2017 г.

Fenrir

Fenrir Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: Fenrir. На файле проекта написано: AES_RANSOMWARE. На exe-файле написано: Adobe Reader.exe. Фальш-имя: ADOBE ACROBAT READER. Среда разработки: Visual Studio 2017. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется непростое расширение.

Примеры: 
.a12b34cd5e
.1BC23D4EF5

Это последовательность из первых 10 шестнадцатеричных цифр, взятых из MD5-хэша функции HWID. 

Шаблон можно записать как:
.<10_hex_chars>
.<10_hex_sign> 

Я специально пропускаю подробности генерации добавляемого расширения, потому что пострадавшим не нужны глубокие технические подробности, им нужен результат и файлы. А тем службам, которым это надо, всё равно будут проводить собственный анализ для отчёта и передачи информации выше. 

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ransom.rtf
Содержание записки о выкупе:
(Q) HOW TO RESCOVER MY FILES?
(A) Sending to me the amount of 150$ dollars in bitcoin for my bitcoin ID afterthe payment has been made send the transaction ID and your personal ID to my email and then i will send you the unlocker.
MY BITCOIN ID: 19SVnnScjTewmgzE5v9gVXn4mzxFQMT5Wo
MY EMAIL whiterabbit01@mailinator.com
YOUR PERSONAL ID: IN THE WINDOW TITLE 
(Q) WHAT IS IT?
(A) https://en.wikipedia.org/wiki/Ransomware
(Q) WHAT IS BITCOIN?
(A) https://en.wikipedia.org/wiki/Bitcoin
(Q) WHERE TO BUY BITCOIN?
(A) https://localbitcoins.com/

Перевод на русский язык:
(Q) КАК ВОССТАНОВИТЬ МОИ ФАЙЛЫ?
(A) Отправьте мне сумму в 150$ в биткоинах за мой биткоин ID после того, как платеж был сделан, отправьте ID транзакции и ваш личный ID на мой email, а затем я отправлю вам разблокировщик.
МОЙ BITCOIN ID: 19SVnnScjTewmgzE5v9gVXn4mzxFQMT5Wo
МОЙ EMAIL whiterabbit01@mailinator.com
ВАШ ЛИЧНЫЙ ID: в названии окна
(Q) ЧТО ЭТО ТАКОЕ?
(A) https://en.wikipedia.org/wiki/Ransomware
(Q) ЧТО ТАКОЕ BITCOIN?
(A) https://en.wikipedia.org/wiki/Bitcoin
(Q) ГДЕ КУПИТЬ BITCOIN?
(A) https://localbitcoins.com/

Запиской с требованием выкупа также выступают экран блокировки и изображение, загружаемого с хостинга изображений pixs.ru:
Содержание текста с экрана блокировки:
ALL YOUR FILES HAVE BEEN LOCKED
(Q) HOW TO RESCOVER MY FILES?
(A) Sending to me the amount of 150$ dollars in bitcoin for my bitcoin ID after the payment has been made send the transaction ID and your personal ID to my email and then i will send you the unlocker.
MY BITCOIN ID: 19SVnn5cjTewmgzE5v9gVXn4mzxFQMT5Wo
MY EMAIL: whiterabbit01@mailinator.com
YOUR PERSONAL ID: IN THE WINDOW TITLE
(Q) WHAT IS IT?
(A) https://en.wikipedia.org/wiki/Ransomware
(Q) WHAT IS BITCOIN?
(A) https://en.wikipedia.org/wiki/Bitcoin
(Q) WHERE TO BUY BITCOIN?
(A) https://localbitcoins.com/

Перевод текста на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАБЛОКИРОВАНЫ
(Q) КАК ВОССТАНОВИТЬ МОИ ФАЙЛЫ?
(A) Отправьте мне сумму в 150$ в биткоинах за мой биткоин ID после того, как платеж был сделан, отправьте ID транзакции и ваш личный ID на мой email, а затем я отправлю вам разблокировщик.
МОЙ BITCOIN ID: 19SVnn5cjTewmgzE5v9gVXn4mzxFQMT5Wo
МОЙ EMAIL: whiterabbit01@mailinator.com
ВАШ ЛИЧНЫЙ ID: В ЗАГОЛОВКЕ ОКНА
(Q) ЧТО ЭТО ТАКОЕ?
(A) https://en.wikipedia.org/wiki/Ransomware
(Q) ЧТО ТАКОЕ BITCOIN?
(A) https://en.wikipedia.org/wiki/Bitcoin
(Q) ГДЕ КУПИТЬ BITCOIN?
(A) https://localbitcoins.com/

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений (фальшивый Adobe Reader.exe), перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Adobe Reader.exe
ransom.rtf
ransompng_6304118_26774912.png

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 19SVnn5cjTewmgzE5v9gVXn4mzxFQMT5Wo
Email: whiterabbit01@mailinator.com
xxxxs://fenrir-ransomware.000webhostapp.com/log.php
xxxx://i12.pixs.ru/storage/9/1/2/ransompng_6304118_26774912.png
xxxx://000webhostapp.com
xxxx://gateway00.000webhostapp.com/
xxxx://000300.000webhostapp.com/
xxxx://00004563.000webhostapp.com/
xxxx://a00843873434.000webhostapp.com/
xxxx://owa2378office365migration159.000webhostapp.com/
xxxx://ithelpdeskportal.000webhostapp.com/
xxxx://wwwww123web.000webhostapp.com/
145.14.145.40:443 - Нидерланды
145.14.145.80:443 - Нидерланды
145.14.145.232:443 - Нидерланды
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 5 июля 2017 г.

NOOB CryptoMix

NOOB Ransomware

NOOB CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: Oren Music Panel Control.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Cryptomix >> NOOB

К зашифрованным файлам добавляется расширение .NOOB

Пример зашифрованных файлов:
7420507E13F464E5A3C8A1F215014975.NOOB
D8CFCE9C2629239E6FE230AA2736082E.NOOB
1748FB9A108625958A46C9DA11930A25.NOOB 


Активность этого крипто-вымогателя пришлась на первую половину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Need back files ?
write to admin@zayka.pro
DECRYPT-ID-a8b4a4ec-41c1-4ce4-813e-59114edf3a22 number

Перевод записки на русский язык:
Нужны файлы обратно?
пиши на admin@zayka.pro
DECRYPT-ID-a8b4a4ec-41c1-4ce4-813e-59114edf3a22 number

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BCFA752030.exe
<random>.exe
_HELP_INSTRUCTION.TXT

Расположения:
%AppData%\<random>.exe
<all_folders>\_HELP_INSTRUCTION.TXT

Список открытых RSA-ключей:
см. статью на BC

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
admin@zayka.pro
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Azer CryptoMix

Azer Ransomware

Azer CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Powerstateoff. На файле написано: Powerstateoff.exe и gangbang.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Cryptomix >> Azer > Exte, Pirate

К зашифрованным файлам добавляется составное расширение по шаблону ***-email-[email_address].AZER

Примеры зашифрованных файлов:
5E25CB783F2F2B0787FC017844C81017-email-[webmafia@asia.com].AZER
0A8E72FB2B09B9ACCB3825E530A29EBC-email-[webmafia@asia.com].AZER
0123D76912AE38BBC3DC429B18471DCB-email-[webmafia@asia.com].AZER

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _INTERESTING_INFORMACION_FOR_DECRYPT.TXT

Содержание записки о выкупе:
All you files encrypted
For decrypt write to email:
 webmafia@asia.com
 donald@trampo.info
You ID - XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Перевод записки на русский язык:
Все твои файлы зашифрованы
Для дешифровки пиши на email
 webmafia@asia.com
 donald@trampo.info
Твой ID - XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX



Технические детали

Эта версия не поддерживает связь с сетью и полностью отключена. 
AZER шифрует файлы аналогично другим в семействе Cryptomix.
Включает десять различных ключей шифрования RSA-1024, см. ниже. 
Один из этих ключей выбирается для ключа AES шифрования файлов. 
Например, в варианте Mole02 был только один открытый ключ RSA-1024.
Ключи:
-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCTp02+iahQUVQQSGTYcAgUdyn8 R6D3+q/M1GwA4c6ePwXlsEJC8UC4hDE4otjs4Vae0MauQrvkYo2rnilCpiqsv0Oo OjDgOHhHI1vUILpWjAVRu61DORWqdvQEH3x9GfGRIulKwhVdzll5sGS9pyGWAAGq XvJ8T/ods5V+M3nFvQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC2Zs4/PG+bhEhduEnmB/zS4Ps7 bD0EDn6q2tgpIwu7WF4NhDwnCQYeX9uweOs+x3pPKIHgZj7KtyOdwjJEMYt4yago kMnp24CM413CbGz28tsSLifJpcDq7NdFlItv1foqE3EhxK4RnnsKRnlNnZOmJobj BXWAK7kI6PMjAsycjQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdcVWIUztGfqsyayX8MJ+MilwA OCMmaedwUkhcrOaZbEr/kjFAS/51dhxfUmoO2M6N51D1+Tlx1hFP0Bbea41ory14 /jXmBP/ARTPejT9wmAcdFSYL5RKqn21imymnSfllV7lLSS7fwzIhUibz/c13pk1w UFQpsQKlAmge6nPWMQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCoXHPF5pGepB37MwkGshTi4N+q KaRbRAk6b6tDUxHK8AWyNDJTFKLygvaNTxjAcpY467SDTXQq6EyvaCh2juaSzCLH qxcwIVRMH4mtBI8RKx5bycWssbuZD6XwQpcS7WABqE8+BuYDmALgeh1W0UVBQge5 Alv8dKw5oY2B84RApQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCfshy8WocDLQBfn36LclXu7obD X5hCJFAKntVU3Siyy6XKnumyu/qsiwekxG0QkDrEuWZWGk+/w5qVf+bw1wXbKnBr h2FiYqtXgN8pX7h6vDhYNWd80RKg0fxA7sRYoB7HCtel99BCcGOKvWbsr9hcFq3j EPtf81OdtqlTI6x6uwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3ncKb3ppnuXs7NtizXtdHcKcj sfSIhS3E23j5Z4pxYfj3c3ipP8/gxu93/9b6qSQnQ87NRACf8NBbpr1XYR1kGkNK cRk+u1QsKsVyYP8QoMtnCPbxaIAxZ9qc2o8eFPt44IbOFNo4TS682ZnrgvCIl/D+ taf9I8jbrBTSbfxQ3wIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCNdG6Kp5B6EHKVsENf2QudkLfe TMzETNDGBk5cvGpj3On70vZGODVj/WfRe2iHyVE0ykT/iXXtb/C5gw3FePCSGVja 5S3qH9xh6Ncw5sFrsdgBbm7qPYSbRmux2VTjHlLE44ckkTTCSiTUL3KX/08cU04V hb/JtNwKF5bg3ycuhQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCqqapIMkQJgyt8mfVLZRPIEU20 V8c3+JbWNCdtDrIucv5nsKxJ/hCCDCau8gVjNN5jWtLltoQ0NvwR94HZaUkXAjGq Iy+vvpc66SBLin8pJ/DzLtA3ouQBrYU2/9C75DrKGuCedEoAzoFkCjz/AokqjTkz xSIkf+5//Rpoj22lHwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCHZ0EKaGTzyOxqaX2ePqAs46RU HhLRsApVWfO0z3BADXv4cv2iGjSXRZE1g7dU/KNEVZrjuBRaHksWpXKIwI6v7vSJ ZcxsaNRZNS+RTwJbu5VNc5uHBc5YPa7sdqocVrt3b6eXXPbn5gZcQY3L18TTd+S3 DljCC6h8BC80BJI6OQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCkrR8CoTgor4sIybnVarCSWzMN RIoH51qIgCWDx49UQYXXqCn7I4T2XL7iOD5Fb/LO8LLS/BC7xNETIBGwUsOLMUXq 0LT3wlASZX4l491JPAAzlGfspmWqOnxwFZh4e2kqbix9uTGRw7oC0v7n6pACJSLW ybODvrXAfJlITYUYIQIDAQAB
-----END PUBLIC KEY-----
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_INTERESTING_INFORMACION_FOR_DECRYPT.TXT
gangbang.exe
<random>.exe

Расположения:
%AppData%\[random].exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: webmafia@asia.com
donald@trampo.info
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Обновление: июль 2017
Примечательно, что те же email-адреса используются в другой вредоносной кампании - Nemesys.
Это может говорить только о том, что за обоими крипто-вымогателями стоят одни и тех люди. 


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 4 июля 2017 г.

J-Ransomware

J-Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: J-Ransomware. На файле написано: J-Ransomware.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: ZeroRansom > J-Ransomware.exe

К зашифрованным файлам добавляется расширение .LoveYou

Образец этого крипто-вымогателя найден в начале июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно еще находится в разработке.

Записка с требованием выкупа называется: ReadMe.txt

Содержание записки о выкупе:
Hey you !! Congratulations. Your fucking files are all encoded

Перевод записки на русский язык:
Привет !! Поздравляю. Твои долбаные файлы зашифрованы

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Имеет жёстко запрограммированный пароль "password". 

Список файловых расширений, подвергающихся шифрованию:
.cal, .casb, .ccp, .cmx, .cr2, .db3, .drw, .dwg, .dxf, .pdb, .psd, .psp, .sql, .sqlite, .sqlite3, .sqlitedb (16 расширений). 

Это файлы баз данных, специализированные графические файлы (растровые, векторные изображения, чертежи пр.) и пр.

Файлы, связанные с этим Ransomware:
J-Ransomware.exe
ReadMe.txt

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://jackspam.esy.es/public_html/ransomware.php***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Unikey

Unikey Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Unikey-Ransomware. На файле написано: hidden-tear и Unikey-Ransomware.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Unikey-Ransomware

Этимология названия:
Не смотря на "уникальное" название, в самом вымогателе нет ничего уникального, обычный HiddenTear.

К зашифрованным файлам добавляется расширение .locked

Образец этого крипто-вымогателя найден в начале июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно ещё находится в разработке, т.к. в записке нет контактов для уплаты выкупа и шифруются только файлы в папке "test" на рабочем столе. 

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Files has been encrypted with hidden tear
Send me some bitcoins or kebab
And I also hate night clubs, desserts, being drunk.

Перевод записки на русский язык:
Файлы были зашифрованы hidden tear
Отправь мне биткоины или кебаб
И я тоже ненавижу ночные клубы, десерты, пьяных. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
Unikey-Ransomware.exe

Расположения:
\Desktop\test
\Desktop\test\READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***ransomware.vmware.lab/write.php
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ZeroRansom

ZeroRansom Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выполнить инструкции, но не сообщат сумму выкупа и контакты для его уплаты, чтобы вернуть файлы. Оригинальное название: ZeroRansom. На файле написано: ConsoleCS_NetF. Среда разработки: Visual Studio 2017. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .z3r0

Образец этого крипто-вымогателя найден в начале июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно еще находится в разработке, т.к. в записке нет контактов для уплаты выкупа. 

Записка с требованием выкупа называется: EncryptNote_README.txt
ZeroRansom

Содержание записки о выкупе:
All your important files have been encrypted by ZeroRansom. Please follow instruction below to keep your file
1. Don't try to do anything stupid like delete the encryptor or terminate its process.
2. Turn off your anti-virus program and make sure it hasn't deleted any file of the encryptor
3. Follow these rule strictly or your files will be deleted FOREVER
4. Thanks for reading this. Have a good day, sir. :)

Перевод записки на русский язык:
Все ваши важные файлы были зашифрованы ZeroRansom. Следуйте инструкциям ниже, чтобы сохранить файл
1. Не пытайтесь делать что-то глупое, как удаление шифратора или завершение его процесса.
2. Отключите свою антивирусную программу и убедитесь, что она не удалила ни одного файла шифратора
3. Соблюдайте это правило строго или ваши файлы будут навсегда удалены 
4. Спасибо за это. Удачного дня, сэр. :)

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Отправляет ключ шифрования через посту Gmail.

Список файловых расширений, подвергающихся шифрованию:
.7z, .bat, .c, .cpp, .cs, .db, .dll, .doc, .docx, .gif, .jar, .java, .jpg, .mp3, .mp4, .pdf, .peg, .png, .ppt, .pptx, .rar, .sln, .txt, .xls, .xlsx, .zip (26 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ConsoleCS_NetF.exe
EncryptNote_README.txt

Расположения:
\Desktop\EncryptNote_README.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email из кода: zerounix32@gmail.com, zerounix48@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *