Если вы не видите здесь изображений, то используйте VPN.

понедельник, 10 июля 2017 г.

Bitpaymer

Bitpaymer Ransomware

Aliases: BitPaymer, WPEncrypt, FriedEx

Bitpaymer NextGen

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные компьютеров в предприятиях и организациях с помощью комбинации шифров RC4 и RSA-1024, а затем требует выкуп в 50 BTC за все компьютеры в сети, чтобы вернуть файлы. Сумма выкупа может быть и меньше для разных жертв. Оригинальное название: Bit paymer. На файле написано: apisetstub, ApiSet Stub DLL или NlsData081a. Фальш-копирайт: Microsoft. Судя по одному из образцов, название проекта: wp_encrypt. Разработка группы Evil Corp (Indrik Spider), которую зарубежные исследователи считают российской или пророссийской. 
---
👉 Ранее эту группу США обвинили в разработке и распространении вредоносной программы Dridex, предназначенной для заражения компьютеров банков и компаний более чем в 40 странах, заочно осудили и наложили санкции на всех перечисленных. Спустя неделю оказалось, что часть информации недостоверна и из санкционного списка можно смело исключить некоторые российские компании и несколько человек. Написание некоторых фамилий "обвиненных" искажены и могут относиться к вымышленным лицам. Более того, найдено немало вбросов со стороны украинских и антироссийских СМИ, которые усиленно муссируют недостоверную информацию. Сколько недостоверностей мы ещё узнаем и как можно верить заказным и муссированным "расследованиям" с картинками из социальных сетей? 
---
Обнаружения:
DrWeb -> Trojan.MulDrop7.34138, Trojan.Encoder.25901, Trojan.Encoder.25571
BitDefender -> MemScan:Trojan.Ransom.BitPaymer.C, Trojan.GenericKD.31070119, Trojan.GenericKD.31070097, Trojan.GenericKD.30908543
ALYac -> Trojan.Ransom.Bitpaymer
Malwarebytes -> Trojan.FakeMS.Generic, Ransom.FileCryptor
ESET-NOD32 -> Win32/Filecoder.FriedEx.A, Win32/Filecoder.NRI
Symantec -> Ransom.JobCrypter, Ransom.BTCware
VBA32 -> BScope.Trojan.Refinka, BScope.TrojanRansom.Cryptor
Avira (no cloud) -> TR/Ransom.AF, TR/Crypt.XPACK.Gen
Rising -> Ransom.Crypt!1.A9D3 (CLOUD), Ransom.Crypt!1.A9D3 (CLASSIC)
---

© Генеалогия: предыдущие варианты >> BitPaymer > DoppelPaymer

К зашифрованным файлам добавляется расширение .locked

⚠️ После основной статьи смотрите раздел обновлений, там могут быть другие расширения и более новые образцы. 

Ранняя активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: .readme_txt
С точкой потому, что она добавляется к каждому зашифрованному файлу как расширение. 

Содержание текста о выкупе: 
YOUR COMPANY HAS BEEN SUCCESSFULLY PENETRATED!
DO NOT RESET OR SHUTDOWN - files may be damaged. DO NOT TOUCH this file.
All files are encrypted, we accept only bitcoins to share the decryption software for your network.
Also, we have gathered all your private sensitive data.So if you decide not to pay anytime soon, we would share it with media's.
It may harm your business reputation and the company's capitalization fell sharply.
Do not try to do it with 3rd-parties programs, files might be damaged then.
Decrypting of your files is only possible with the special decryption software.
To receive your private key and the decryption software please follow the link (using tor2web service):
xxxxs://qmnmrba4s4a3py6z.onion.to/order/***
If this address is not available, follow these steps:
1. Download and install Tor Browser: xxxxs://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: xxxx://gmnmrba4s4a3py6z.onion/order/***
4. Follow the instructions on the site
5. This link is valid for 72 hours only. Afetr that period your local data would be lost completely.
6. Any questions: 15010050@tutamail.com
KEY:***

Перевод на русский язык:
ВАША КОМПАНИЯ БЫЛА УСПЕШНО ПЕНЕТРИРОВАНА! 
Все файлы зашифрованы. Мы принимаем только биткоины для раздачи программы дешифрования по вашей сети. 
Кроме того, мы собрали все ваши конфиденциальные данные. 
Поэтому, если вы вскоре не заплатите, мы распределим...
 Это может нанести вред вашей деловой репутации, и капитализация компании резко упадёт.
Не пытайтесь делать это с помощью сторонних программ, тогда файлы могут быть повреждены.
Расшифровка ваших файлов возможна только с помощью специальной программы для дешифрования.
Чтобы получить свой секретный ключ и программу для дешифрования, перейдите по ссылке (используя службу tor2web):
xxxxs://qmnmrba4s4a3py6z.onion.to/order/***
Если этот адрес недоступен, выполните следующие действия:
1. Загрузите и установите Tor-браузер: xxxxs://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: xxxx://gmnmrba4s4a3py6z.onion/order/***
4. Следуйте инструкциям на сайте
5. Эта ссылка действительна только в течение 72 часов. По их их истечении ваши локальные данные будут полностью потеряны.
6. Любые вопросы: 15010050@tutamail.com
Ключ:***




Скриншоты с сайта уплаты выкупа

Содержание текста на сайте для выкупа:
Welcome to the ransom page!
To get the decryption software and the private key  for every single infected computer in your network please follow the on-screen instructions on how to buy and send the Bitcoin's:
1. Please register a Bitcoin wallet. Here are the options:
    - Blockchain Online Wallet (the easiest way)
    - Other options (for advanced users)
    - Send via Bitcoin exchanger directly to the ransom wallet.
2. To buy the Bitcoins please use either of options below:
    - localBitcoins.com             Buy Bitcoins with Western Union and several alternative methods.
    - btc-e.com                        Western Union, Cash, Bank Wire, etc.
    - coincafe.com                     Recommended for fast, simple service.
    - coinbase.com                 Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: 
Bitcoin ATM, in person.
    - localBitcoins.com             Service allows you to search for people in your community willing to sell Bitcoins to you directly.
    - cex.io                         Buy Bitcoins with VISA/MASTERCARD or wire transfer.
    - btcdirect.eu                     The best for Europe.
    - bitquick.co                     Buy Bitcoins instantly for cash.
    - howtobuyBitcoins.info         An international directory of Bitcoin exchanges.
    - cashintocoins.com             Bitcoin for cash.
    - coinjar.com                     CoinJar allows direct Bitcoin purchases on their site.
    - anxpro.com
    - bittylicious.com
3. Get bitcoin wallet for payment (bitcoin address valid for 12 hours, if 12 hours passed please get the new wallet)
4. Send 50 BTC  to the bitcoin address
15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1 (must be sent in 1 transaction!)
Please note that we require 3 Bitcoin transaction confirmations.
    - To view the current status of your transaction please follow the link: 
https://blockchain.info/address/15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1
    - Once the transaction passed 3 confirmations please refresh the page and you will be granted to download the decryption software
    - If something goes wrong please contact us via email: 17042102@tutamail.com
    - We can decrypt 2-3 non-important light-weight files before you pay, send'em to email: 17042102@tutamail.com
4. Please be advised that the ransom amount may be raised after 48 hours since your first visit if no payment received. 
In 7 days this link would be deleted, so all your information could be lost.
    Your company is secure enough, but we may tell you what is wrong after payment being processed. Good Luck!

Перевод текста на сайте на русский язык:
Добро пожаловать на страницу выкупа!
Чтобы получить программу для дешифрования и закрытый ключ для каждого отдельного зараженного компьютера в вашей сети, следуйте инструкциям на экране о том, как купить и отправить биткоины:
1. Пожалуйста, зарегистрируйте Bitcoin-кошелек. Вот варианты:
    - Сетевой кошелек Blockchain (самый простой способ)
    - Другие варианты (для продвинутых пользователей)
    - Отправьте через Bitcoin-обменник прямо в кошелек для выкупа.
2. Чтобы купить биткоины, пожалуйста, используйте один из следующих вариантов:
    - localBitcoins.com - Купить биткойны с Western Union и несколько альтернативных методов.
    - btc-e.com - Western Union, Cash, Wire Wire и т. Д.
    - compatafe.com - Рекомендуется для быстрого и простого обслуживания.
    - coinbase.com - Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. В NYC:
Bitcoin ATM, лично.
    - localBitcoins.com - сервис помогает найти людей в вашем сообществе, готовых напрямую продать Bitcoins.
    - cex.io - Купить биткоины с VISA / MASTERCARD или банковским переводом.
    - btcdirect.eu - Лучшее для Европы.
    - bitquick.co - Купить биткойны мгновенно за наличные.
    - howtobuyBitcoins.info - Международный справочник бирманских бирж.
    - cashintocoins.com - биткойны за наличные.
    - coinjar.com - CoinJar - позволяет напрямую покупать биткойны на своем сайте.
    - bittylicious.com
3. Получите биткойн-кошелек для оплаты (биткоин-адрес действителен 12 часов, если прошло 12 часов, получите новый кошелек)
4. Отправьте 50 BTC на биткойн-адрес 
15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1 (должен быть отправлен в 1 транзакции!)
Обратите внимание, что нам требуется 3 подтверждения транзакции Bitcoin.
    - Чтобы просмотреть текущий статус транзакции, перейдите по ссылке:
https://blockchain.info/address/15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1
    - После того, как транзакция прошла 3 подтверждения, пожалуйста, обновите страницу, и вам будет предоставлена ​​возможность загрузить программное обеспечение для дешифрования
    - Если что-то пойдет не так, свяжитесь с нами по email: 17042102@tutamail.com
    - Мы можем расшифровать 2-3 важных файла с легким весом, прежде чем вы заплатите, отправьте по email: 17042102@tutamail.com
4. Пожалуйста, имейте в виду, что сумма выкупа может быть увеличена через 48 часов с момента вашего первого посещения, если платеж не получен.
Через 7 дней эта ссылка будет удалена, поэтому вся ваша информация может быть потеряна.
    Ваша компания достаточно безопасна, но мы можем сказать вам, что не так после обработки платежа. Удачи!



Технические детали


За распространением стоит кибер-группа Indrik Spider, которая ещё использует банковский троян Dridex с 2014-2015 годов. Имеется прямая связь с Dridex. Распространяется путём взлома через незащищенную конфигурацию RDP. Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Bitpaymer шифрует каждый файл со случайно сгенерированным RC4-ключом, который потом шифруется с помощью жестко закодированного 1024-битного открытого RSA-ключа и сохраняется в файле .readme_txt

Список файловых расширений, подвергающихся шифрованию:
 ... .bmp, .cab, .doc, .gif, .jpg, .mp3, .msi, .pdf, .png, .xml,    ...
Это вероятно документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<file_name>.readme_txt
<random>.exe
<random>.tmp
wp_encrypt.pdb - оригинальное название проекта

Странные файлы:
g7jPtkL61MJlOuA5XHbLrCZK.oBu
kyrq0FRS37EmB.siS
l2mxwrZNwyVO0y8EAMTy.d7A

Расположения:
%LOCALAPPDATA%\\random\<random>.exe

Временные файлы, подлежащие удалению:
%LOCALAPPDATA%\dIPNflS\s2h56FV.exe
%LOCALAPPDATA%\UxBmpV3\tYXbzc.exe
%TEMP%\CZ5EAC.tmp
%TEMP%\Gb5EE9.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://qmnmrba4s4a3py6z.onion
xxxx://qmnmrba4s4a3py6z.onion/order/43e4593a-5dc7-11e7-8803-00163e417ea3***
BTC: 15G6YvWH9hFp6BetJdVs4xgsx2wyimcHc1
Email: 17042102@tutamail.com
15010050@tutamail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Intezer Analyze >>
ANY.RUN анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bitpaymer Ransomware - июль 2017 - январь 2019
Bitpaymer NextGen - июнь-июль 2018
Streamer Ransomware - октябрь 2018
IEncrypt Ransomware - ноябрь 2018 - сентябрь 2019
DoppelPaymer Ransomware - июль 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 25 августа 2017:
Email: 43rgwe723E94@tutanota.com (новый)
Tor: gmnmrba4s4a3py6z.onion (не изменился)

Обновление от 21 мая 2018: 
Пост в Твиттере >>
Tor-URL: xxxx://xau4lkbipznut2ya.onion/***
Email: 1173022@protonmail.com
BTC: 3EQoU28BLTebRZUh1RevG5DWWXB8iTDpAe
 Скриншоты записки о выкупе и Tor-сайта вымогателей
➤ Содержание текста из записки:
Your network has been penetrated.
All files on each host in the network have been encrypted with a strong algorythm.
Backups were either encrypted or deleted or backup disks were formatted.
No free decryption software is available in the public.
Do not reset or shutdown - files may be damaged.
Do not rename the encrypted and readme files.
Do not move the encrypted and readme files.
This may lead to the impossibility of recovery of the certain files.
To get info(pay-to-decrypt your files) contact us at:
1173022@protonmai1. com
If you haven't received any response within 24h since you wrote us visit your personal ransom page in TOR to get the alternative email address:
http://xau4lkbipznut2ya.onion/order/98aa2b7e-f63d-11e7-9f2f-00163e044792
Use TOR Browser to be able to view you personal ransom page
https://www.torproject.org/download/download-easy.html.en
KEY:AQIAAAFoAAAApAAAQGY73*****MEDd3usQQ=
➤ Содержание текста на Tor-сайте:
Your network has been penetrated.
All files on each host in the network have been encrypted with a strong algorythm.
Backups were either encrypted or deleted or backup disks were formatted.
No free decryption software is available in the public.
Do not rename the encryted or informational text files. Do not move the encrypted or informational text files.
This may lead to the impossibility of recovery of the certain files.
• Your reference ID: 124
(we recommend to put the reference ID as the subject when contacting us)
• BTC wallet for payment:
***
3EQoU28BLTebRZUh1RevG5DWWXB8iTDpAe
you can check the status here: 
https://blockchain.info/address/3EQoU28BLTebRZUh1RevG5DWWXB8iTDpAe
• Contact email: 1173022@protonmail.com


Обновление от 11 июля 2018:
Пост в Твиттере >>
Расширение: .LOCK
Записка: HOW_TO_DECRYPT.txt
Email: StephenJoffe@protonmail.com
Маркер файлов: 0C0200000C020000
Результаты анализов: VT + VT


Обновление от 12 июля 2018:
Пост в Твиттере >>
Расширение: .locked
Записка .readme_txt добавляется к каждому зашифрованному файлу как расширение. 
Пример зашифрованного файла: My_Document.doc.locked
Пример записки к зашифрованному файлу: My_Document.doc.readme_txt
Email: PetcherMcneill@protonmail.com, PeterMcneill@tutanota.com
BTC: 1PNmBWJHzJGqTUemastR7E4ccrUNASktmZ
Результаты анализов: VT + HA + VMRay

Обновление от 24 июля 2018:
От атаки Bitpaymer Ransomware пострадали серверы и интернет-сети городской ИТ-инфраструктуры на Аляске (США). Пришлось полностью отключить от Интернета все сети и перестроить заново. Статья на английском.


Обновление, которое используется с декабря 2018:
Пост в Твиттере >>
Расширение: .locked
Записка .unlockme.txt добавляется к каждому зашифрованному файлу как расширение. Но в записке написано про добавление к файлу .readme_txt

Обновление от 18 января 2019:
Пост в Твиттере >>
Расширение: .locked
Email: LoryEstside@protonmail.com
BTC: 1BoKgLAR71Jq975cS1YahK2PdcWwKf4ddf
Записка с расширением .readme_txt добавляется к каждому зашифрованному файлу как расширение. 
Результаты анализов: VT + HA + VMRay


Обновление от 20 июня 2019: 
Фактически, это уже DoppelPaymer Ransomware
Расширение: .locked
Tor-URL: xxxx://2anwyjsh7qgbuc5i.onion
Записка с расширением .readme2unlock.txt добавляется к каждому зашифрованному файлу как расширение. 
Результаты анализов: VT + IA + AR

Обновление от 20 ноября 2019:
Изучение BitPaymer Decrypter от Vitali Kremez





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Bitpaymer)
 Write-up, Topic of Support
 * 
Added later:
About BitPaymer by CrowdStrike (on November 14, 2018)
About FriedEx (BitPaymer) by ESET (January 28, 2018)
*
 Thanks: 
 Michael Gillespie
 Jakub Kroustek, David Montenegro
 Andrew Ivanov, GrujaRS
 ESET, CrowdStrike
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Scarab-Scorpio

Scorpio Ransomware

Scarab-Scorpio Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться по email, заплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Scorpio. На файле написано.

© Генеалогия: Scarab > Scorpio

К зашифрованным файлам добавляется составное расширение по шаблону 
.[Help-Mails@Ya.Ru].Scorpio
Сами файлы переименовываются с помощью Base64. 
Изображение не принадлежит шифровальщику
Логотип шифровальщика разработан на этом сайте ID-Ransomware.RU
Стилизация в виде скорпиона, держащего наготове свою ядовитую иглу.

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT

Содержание записки о выкупе:
*** IF YOU WANT TO GET ALL YOUR FILES BACK. PLEASE READ THIS ***
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
+4IAAAAAAADr91rqHZ*****TIRAC=py
-----END PERSONAL IDENTIFIER-----
Your important documents, databases, documents, network folders are encrypted for your PC secur
problems.
No data from your computer has been stolen or deleted.
Follow the instructions to restore the files.
How to get the automatic decryptor:
1) Contact us by e-mail: Help-Mails@Ya.Ru. In the letter, indicate you...
beginning of this document)
and the external ip-address of the computer on which the encrypted...
2) After answering your request, our operator will giue you further in...
do next (the answer you will receiue as soon as possible)
** Second email address alexous@bk.ru
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 5Mb (non archived), and file...
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
***

Перевод записки на русский язык:
*** ЕСЛИ ВЫ ХОТИТЕ ВЕРНУТЬ ВСЕ ВАШИ ФАЙЛЫ. ПОЖАЛУЙСТА ПРОЧТИТЕ ЭТО ***
Теперь ваши файлы зашифрованы!
----- НАЧАЛО ПЕРСОНАЛЬНОГО ИДЕНТИФИКАТОРА -----
+ 4IAAAAAAADr91rqHZ ***** TIRAC = PY
----- КОНЕЦ ПЕРСОНАЛЬНОГО ИДЕНТИФИКАТОРА -----
Ваши важные документы, базы данных, документы, сетевые папки зашифрованы из-за проблем безопасность на вашем ПК.
Никакие данные с вашего компьютера не были украдены или удалены.
Следуйте инструкциям по восстановлению файлов.
Как получить автоматический расшифровщик:
1) Свяжитесь с нами по email: Help-Mails@Ya.Ru. В письме укажите ...
Начало этого документа)
И внешний ip-адрес компьютера, на котором зашифрованы файлы ...
2) После того, как вы ответите на ваш запрос, наш оператор продолжит вам ...
Сделайте следующее (ответ вы получите как можно скорее)
** Второй email-адрес alexous@bk.ru
Бесплатное дешифрование в качестве гарантии!
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования.
Общий размер файлов должен быть меньше 5 Мб (без архивирования), а файл ...
Ценную информацию (базы данных, резервные копии, большие листы Excel и т. Д.).
Как получить биткойны?
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами: 
cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
cmd.exe /c wmic SHADOWCOPY DELETE
cmd.exe /c vssadmin Delete Shadows /All /Quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

Файлы, связанные с этим Ransomware:
IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT
database.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%APPDATA%\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
uSjBVNE = "%Application Data%\<malware>.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
help-mails@ya.ru
alexous@bk.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):

Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

см. выше Историю семейства




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Scorpio)
 Write-up, Topic of Support
 * 
 Thanks: 
 Marcelo Rivero
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.


шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

OXAR

OXAR Ransomware

Kappa Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Название проекта Data Locker. На файле написано: Data Locker.exe. Среда разработки: Visual Studio 2017.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> OXAR > Kappa

К зашифрованным файлам добавляется расширение .OXR

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Files successfully encrypted !
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
But if you want to decrypt all your files, you need to pay.
How Do I Pay?
Payment is accepted in Bitcoin only.
Please check the current price of Bitcoin and buy some bitcoins. 
And send the correct amount to the address specified in this window.
And specify your client ID and your e-mail adress in the description when you send the payment via https://blockchain.info/fr/wallet/#/
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay! 
Do not modify the ".OXR" extension of your encrypted files, it will become unrecoverable
---
Step one: 
Create a portfolio at https://blockchain.info/fr/wallet/#/
Step two: 
Buy 100$ USD https://blockchain.info/fr/wallet/#/buy-sell
Step three: 
Send 100$ USD in Bitcoin at 16Vs1Z2yrYBM49GpipN3yz1WaMSYS8xm16
---
Your working documents, holiday photos, children, videos, and all your valuable documents have been encrypted with a powerful encryption algorithm, follow the instructions given to retrieve the encryption key

Перевод записки на русский язык:
Файлы успешно зашифрованы!
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов больше недоступны, т.к. они были зашифрованы. Возможно, вы заняты поиском способа восстановить свои файлы, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифровки.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас мало времени.
Но если вы хотите расшифровать все ваши файлы, вам нужно заплатить.
Как мне заплатить?
Оплата принимается только в биткоинах.
Пожалуйста, проверьте текущую цену биткоина и купите несколько биткоинов.
И отправьте правильную сумму по адресу, указанному в этом окне.
И укажите свой ID клиента и email-адрес в описании при отправке платежа через https://blockchain.info/fr/wallet/#/
Мы настоятельно рекомендуем вам не удалять эту программу и на некоторое время отключить антивирус, пока вы не заплатите, и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, он не сможет восстановить ваши файлы, даже если вы платите!
Не изменяйте расширение ".OXR" у ваших зашифрованных файлов, они станут невосстановимыми
---
Шаг 1: 
Создайте учётку на https://blockchain.info/fr/wallet/#/
Шаг 2: 
Купите 100$ США https://blockchain.info/fr/wallet/#/buy-sell
Шаг 3: 
Пошлите 100$ США в биткоинах на 16Vs1Z2yrYBM49GpipN3yz1WaMSYS8xm16
---
Ваши рабочие документы, праздничные фотографии детей, видеоролики и все ваши ценные документы были зашифрованы с помощью мощного алгоритма шифрования, следуйте инструкциям, приведенным для получения ключа шифрования

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.aif, .apk, .arj, .asp, .bat, .bin, .cab, .cda, .cer, .cfg, .cfm, .cpl, .css, .csv, .cur, .dat, .deb, .dmg, .dmp, .doc, .docx, .drv, .gif, .htm, .html, .icns, .iso, .jar, .jpeg, .jpg, .jsp, .log, .mid, .mp3, .mp4, .mpa, .odp, .ods, .odt, .ogg,.part, .pdf, .php, .pkg, .png, .ppt, .pptx, .psd, .rar, .rpm, .rss, .rtf, .sql, .svg, .tar.gz, .tex, .tif, .tiff, .toast, .txt, .vcd, .wav, .wks, .wma, .wpd, .wpl, .wps, .wsf, .xlr, .xls, .xlsx, .zip (72 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Data_Locker.exe 
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
https://blockchain.info/fr/wallet/#/
BTC: 16Vs1Z2yrYBM49GpipN3yz1WaMSYS8xm16
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 4 августа 2017:
Пост в Твиттере >>
Скриншоты новой версии и требования о выкупе.
Результаты анализов: VT

Обновление от 9 августа 2017:
Пост в Твиттере >>
Расширение: .PEDO
Записка: What happens with my files.txt
Файлы: PEDO.exe
Email: oxar.ransomware666@protonmail.com
Результаты анализов: HA+VT
<< Скриншот с требованиями выкупа
Появился звуковой информатор жертвы. 

Обновление от 9 августа 2017:
Пост в Твиттере >>
Расширение: .ULOZ
Файл: Ableton-live-Suite-v95-WiN-x86-x64.exe (ras.exe)
Записка: 1 What happens with my files.txt
Результаты анализов: VT

Обновление от 20 августа 2017:
Пост в Твиттере >>
https://twitter.com/struppigel/status/899541969675972608
Расширение: .OXR
Email: maitregauillaume@protonmail.com
BTC: 1DpDJJwnXLf5RXDWN3Ff6fmfjKWbWc9RHw
Скриншоты >>
Результаты анализов: VT


Обновление от 21 августа 2017:
Kappa Ransomware
Пост в Твиттере >>
Файл: Kappa Ransomware.exe
Результаты анализов: HA+VT
Скриншот экрана блокировки >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Поддаётся дешифровке!
Файлы можно дешифровать!
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Marcelo Rivero
 Michael Gillespie
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AAC

AAC Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название не указано. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .aac

Активность этого крипто-вымогателя пришлась на первую половину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Learn how to recover your files.txt

Содержание записки о выкупе:
It looks like your files have been encrypted.
If you are interested in your recovery, please contact us by email: contatoaac@vpn.tg
Send your code to: aac0d8dcf0484cf31c420b340611c43b6c6cf02dea8cc66d542cc6c18adf6998968
Your request will be answered as soon as possible, and if necessary to guarantee recovery.

Другая записка у другого пострадавшего: 
It looks like your files have been encrypted.
If you are interested in your recovery, please contact us by email: contatoaac@vpn.tg
Send your code to: aac6ab009be90599cbd2f9c0d61122978b834756356caccb75b5a8c1a567d4e5904
Your request will be answered as soon as possible, and if necessary to guarantee recovery.


Перевод записки на русский язык:
Похоже, ваши файлы были зашифрованы.
Если вы заинтересованы в восстановлении, свяжитесь с нами по email: contatoaac@vpn.tg
Пришлите свой код: aac6ab009be90599cbd2f9c0d61122978b834756356caccb75b5a8c1a567d4e5904
На ваш запрос ответ будет дан как можно скорее, и в случае необходимости, гарантировано восстановление.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов командой:
vssadmin delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, в том числе базы данных серверов, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Learn how to recover your files.txt
svchost.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: contatoaac@vpn.tg
URL: xxxx://gcc.gnu.org/bugs.html
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as AAC)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 (victim in the topic of support)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *