Если вы не видите здесь изображений, то используйте VPN.

суббота, 15 июля 2017 г.

Reyptson

Reyptson Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 200-500€, чтобы вернуть файлы. Оригинальное название: Reyptson Ransomware. На файле написано: Reyptson.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Reyptson 

К зашифрованным файлам добавляется расширение .REYPTSON

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
Como_Recuperar_Tus_Ficheros.txt

Содержание записки о выкупе:
Como recuperar tus ficheros del cifrador Reyptson
---
Tienes toda la información en esta web:
xxxxs://37z2akkbd3vqphw5.onion.link/?usuario=4406091797&pass=3411
Si no puedes entrar descarga el navegador tor desde:
xxxxs://www.torproject.org/download/download
y entra a: xxxx://37z2akkbd3vqphw5.onion/?usuario=4406091797&pass=3411
Para poder descifrar tus ficheros tendras que pagar 200€
pero si te retrasas mas de 72H tendras que pagar 500€
Tus datos de acceso son:
Usuario: 4406091797
Contraseña: 3411

Перевод записки на русский язык:
Как восстановить зашифрованные Reyptson файлы
---
xxxxs://37z2akkbd3vqphw5.onion.link***
Если вы не можете ввести, скачайте Tor-браузер из:
xxxxs://www.torproject.org/download/download
и введите: xxxxs://37z2akkbd3vqphw5.onion.link***
Для расшифровки файлов вам придется заплатить 200€
но если вы опоздаете больше, чем на 72 часа, вам придется заплатить 500
Ваши регистрационные данные:
Пользователь: 4406091797
Пароль: 3411

Другим информатором жертвы выступает экран блокировки:

Содержание текста с экрана:
REYPTSON
TUS FICHEROS HAN SIDO CIFRADOS, SI QUIERES RECUPERARLOS SIGUE LAS INSTRUCCIONES
Instrucciones
Accede a este sitio web: xxxxs://37z2akkbd3vqphw5.onion.link/?.....
En el tienes las instrucciones para recuperar tus ficheros y un soporte con el que
podrás contactarnos para recibir asistencia técnica.
Si no puedes acceder puedes entrar bajandote un navegador llamado tor de:
https://www.torproject.org/download/download
Y entrando a: xxxx://37z2akkbd3vqphw5.omon/7usuario....
Para poder descifrar tus ficheros tendrás que pagar 200€ pero si te retrasas mas
de 72H tendrás que pagar 500€

Перевод текста на русский язык:
REYPTSON
Ваши файлы зашифрованы, если вы хотите вернуть их следуйте инструкциям
Инструкции
Перейдите на этот веб-сайт: xxxxs://37z2akkbd3vqphw5.onion.link/?.....
У вас есть инструкции для восстановления файлов и поддержки, по которой
Вы можете связаться с нами для получения помощи.
Если вы не можете получить доступ к сайту, то можете загрузить Tor-браузер:
https://www.torproject.org/download/download
И ввести: xxxx://37z2akkbd3vqphw5.omon/7usuario....
Для расшифровки файлов, вам придется заплатить 200 евро, но если вы опоздаете больше, чем на 72 часа, вам придется заплатить 500


Скриншоты сайта в сети Tor



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (фальшивых PDF-файлов), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Фальшивый PDF-файл, который не открывается в Adobe Reader

Когда Reyptson заражает компьютер, то собирает учетные данные SMTP и базу данных контактов из почтовой программы Thunderbird, а затем отправляет всем адресатам следующее спам-сообщение, содержащее вредоносную ссылку:

Основное содержание:
Si tras leer la información de facturación ha localizado algún error no dude en respondernos a este mismo correo con el numero de factura y el numero de pedido.

Перевод на русский:
Если после прочтения платежной информации замечена ошибка, пожалуйста, ответьте нам эту же почту с номером счета и номером заказа.

Это может говорить также о функционале почтового червя. 

Список файловых расширений, подвергающихся шифрованию:
.2000, .accdb, .accde, .accdr, .accdt, .ani, .anim, .apng, .art, .bmp, .bpg, .bsave, .cal, .cin, .cpc, .cpp, .cpt, .cs, .cur, .dat, .db, .dds, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dpx, .ecw, .exr, .fits, .flic, .flif, .fpx, .gif, .h, .hdri, .hevc, .icer, .icns, .ico, .ics, .idb, .ilbm, .jbig, .jbig2, .jng, .jpeg, .jpeg, .jpeg, .jpeg-hdr, .jpeg-ls, .kra, .logluv, .miff, .mng, .nrrd, .ora, .pam, .pbm, .pcx, .pdf, .pgf, .pgm, .pictor, .png, .pnm, .pot, .potm, .potx, .ppam, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psb, .psd, .psp, .qtvr, .ras, .rbe, .sgi, .sldm, .sldx, .sln, .tga, .tiff, .tiff, .txt, .ufo, .ufp, .wbk, .wbmp, .webp, .xbm, .xcf, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xpm, .xr, .xwd  (116 расширений). 
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, файлы специализированных и прикладных программ и пр.

При шифровании пропускаются файлы, находящиеся в следующих директориях:
%Windir%
%SystemDrive%\Windows.old
%SystemDrive%\Users\default
%SystemDrive%\Users\all users
%SystemDrive%\Users\public
%ProgramFiles%
%SystemDrive%\$Recycle.bin
%SystemDrive%\Program files (x86)
%SystemDrive%\Programdata
%SystemDrive%\System Volume Information
%AppData%

Файлы, связанные с этим Ransomware:
Como_Recuperar_Tus_Ficheros.txt
Reyptson.exe
SpotifyWebHelper.exe
SpotifyWebHelper.pdf
Spotify.vbs
factura.pdf.exe
<random>.exe
<random>.pdf

Расположения и созданные папки:
%APPDATA%\Spotify\
%APPDATA%\Spotify\SpotifyWebHelper\
%APPDATA%\Spotify\SpotifyWebHelper\dat
%APPDATA%\Spotify\SpotifyWebHelper\SpotifyWebHelper.exe
%APPDATA%\Spotify\SpotifyWebHelper\SpotifyWebHelper.pdf
%APPDATA%\Spotify\SpotifyWebHelper\Spotify.vbs
%APPDATA%\Spotify\SpotifyWebHelper\<random>.pdf
%APPDATA%\Spotify\SpotifyWebHelper\<random>.exe
%user_folders%\Como_Recuperar_Tus_Ficheros.txt

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Spotify Web Helper v1.0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Spotify Web Helper v1.0" = "%AppData%\Spotify\SpotifyWebHelper\Spotify.vbs"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://x.to/***
7z2akkbd3vqphw5.onion***
37z2akkbd3vqphw5.onion***
www.torproject.org/download/download***
ject.org/download/download***
media.blizzard.com/emails/2014-account/lock.png***
www.melvinmusicals.com/facefiles/factura.pdf.rar***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Symantec: Ransom.Reyptson >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 13 ноября 2017:
Пост в Твиттере >>
Файл: factura.pdf.exe
Tor: xxxx://dphux5xrwuaf4yey.onion
Результаты анализов: VT + HA + VT
<< Скриншот страницы Tor-сайта
Распространяется как вредоносное вложение в email или по вредоносной ссылке.
🎥 Video review



 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Reyptson)
 Write-up, Topic of Support
 * 

 Thanks: 
 xXToffeeXx
 MalwareHunterTeam
 Karsten Hahn
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 13 июля 2017 г.

Ransed

Ransed Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $25 в BTC, чтобы вернуть файлы. Оригинальное название: Ransed, указано в тексте о выкупе. На файле написано:  Presentation.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ransed

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки, состоящий из нескольких вкладок. 

Содержание записки о выкупе:
Imfao u just got rekt by RANSED it'd be a shame if i encrypted your files...
aaand it's done.
u might be worried and so do I.
if u no pay say goodbye to ur files
rip u m8
lol w8 u can recover ur files
it will cost u 25 dollars :)
btw u pay with BITCOIN k?
head over to that thing.....>
and go to the 'Unlock' tab
gg ez
Time left: 06D 23H 59M 55S

wut is bitcoin

u dont know what is bitcoin? rly?
Bitcoin is a form of digital currency, created and held electronically. No one controls it. Bitcoins aren't printed, like dollars or euros - they're produced by people, and increasingly businesses, running computers all around the world, using software that solves mathematical problems.
It's the first example of a growing category of money known as cryptocurrency.
What makes it different from normal currencies?
Bitcoin can be used to buy things electronically. In that sense, it's like conventional dollars, euros, or yen, which are also traded digitally.
However, bitcoin's most important characteristic, and ...

how can i get bitcoins

Surprisingly, it's still not cosy to buy bitcoins with your credit card or PayPal, depending on your jurisdiction.
This is because such transactions can easily be reversed with a phone call to the card company (ie 'chargebacks'). Since it's hard to prove any goods changed hands in a transfer of bitcoins, exchanges avoid this payment method and so do most private sellers.
However, the options have recently grown for consumers in some countries.
In the US, Coinbase, and Circle offer purchases with credit cards. Bittylicious, CoinCorner and Coinbase offer this service in the UK, accepting 3D Secure-enabled credit and debit cards on the Visa and MasterCard networks...


Перевод записки на русский язык:
..Ransed зашифровал ваши файлы
Если не хотите платить, прощайтесь со своими файлами. 
Это обойдется вам в 25 долларов :)

Что такое биткойн?
Вы не знаете, что такое биткоин? 
Биткоин - это форма цифровой валюты, созданная и используемая в электронном виде. Никто не контролирует его. Биткоины не печатаются, как доллары или евро - они производятся людьми, и все больше компаний, работающих на компьютерах по всему миру, используют программы, которые решают математические проблемы.
Это первый пример растущей категории денег, известной как криптовалюта.
Что отличает его от обычных валют?
Биткоин можно использовать для покупки вещей в электронном виде. В этом смысле это как обычные доллары, евро или иена, которые также продаются в цифровом виде.
Однако, самая важная характеристика биткоина и...

Как я могу получить биткоины?
Удивительно, но по-прежнему не рекомендуется покупать биткоины с помощью вашей кредитной карты или PayPal, в зависимости от вашей юрисдикции.
Это связано с тем, что такие транзакции могут быть легко отменены с помощью телефонного звонка в карточную компанию (например, «возврат платежей»). Поскольку трудно доказать, что какие-либо товары перешли в руки при передаче биткоинов, обмены избегают этого способа оплаты, и поэтому большинство частных продавцов.
Тем не менее, в некоторых странах эти варианты недавно выросли для потребителей.

В США, Coinbase и Circle предлагают покупки с помощью кредитных карт. Bittylicious, CoinCorner и Coinbase предлагают эту услугу в Великобритании, принимая кредитные и дебетовые карты с поддержкой 3D Secure в сетях Visa и MasterCard ...


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Вымогатель использует подключение к удаленной базе данных MySQL для хранения данных о пострадавших. Это значит, что учетные данные для входа в сервер встроены в исполняемый файл крипто-вымогателя. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Presentation.exe (UnityGame.exe)

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Exte CryptoMix

Exte Ransomware

Exte CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Northwestern.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> Azer > Exte

К зашифрованным файлам добавляется расширение .EXTE

Примеры зашифрованных файлов:
F06C3C509054X0B7D28ZCDDBB17087B9C3E.EXTE
9E01FFDC1A86B4BCE993EA3D22D89930.EXTE
ADAA3472448ED0028EB0FEB34D41B476.EXTE

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT


Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
exte1@msgden.net
exte2@protonmail.com
exte3@reddithub.com
We will help You as soon as possible!
DECRYPT-ID-XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Перевод записки на русский язык:
Привет!
Внимание! Все ваши данные зашифрованы!
Для конкретной информации отправьте нам email с ID номером:
exte1@msgden.net
exte2@protonmail.com
exte3@reddithub.com
Мы поможем вам как можно скорее!
DECRYPT-ID-XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX



Технические детали

Exte шифрует файлы аналогично другим в семействе Cryptomix.
Он, как и Azer, включает 10 ключей шифрования RSA-1024, см. ниже. 
Один из этих ключей выбирается для ключа AES шифрования файлов. 
Эта версия, как и Azer, не поддерживает связь с сетью, т.е. автономна. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога
Ключи:
-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCTp02+iahQUVQQSGTYcAgUdyn8 R6D3+q/M1GwA4c6ePwXlsEJC8UC4hDE4otjs4Vae0MauQrvkYo2rnilCpiqsv0Oo OjDgOHhHI1vUILpWjAVRu61DORWqdvQEH3x9GfGRIulKwhVdzll5sGS9pyGWAAGq XvJ8T/ods5V+M3nFvQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC2Zs4/PG+bhEhduEnmB/zS4Ps7 bD0EDn6q2tgpIwu7WF4NhDwnCQYeX9uweOs+x3pPKIHgZj7KtyOdwjJEMYt4yago kMnp24CM413CbGz28tsSLifJpcDq7NdFlItv1foqE3EhxK4RnnsKRnlNnZOmJobj BXWAK7kI6PMjAsycjQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdcVWIUztGfqsyayX8MJ+MilwA OCMmaedwUkhcrOaZbEr/kjFAS/51dhxfUmoO2M6N51D1+Tlx1hFP0Bbea41ory14 /jXmBP/ARTPejT9wmAcdFSYL5RKqn21imymnSfllV7lLSS7fwzIhUibz/c13pk1w UFQpsQKlAmge6nPWMQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCoXHPF5pGepB37MwkGshTi4N+q KaRbRAk6b6tDUxHK8AWyNDJTFKLygvaNTxjAcpY467SDTXQq6EyvaCh2juaSzCLH qxcwIVRMH4mtBI8RKx5bycWssbuZD6XwQpcS7WABqE8+BuYDmALgeh1W0UVBQge5 Alv8dKw5oY2B84RApQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCfshy8WocDLQBfn36LclXu7obD X5hCJFAKntVU3Siyy6XKnumyu/qsiwekxG0QkDrEuWZWGk+/w5qVf+bw1wXbKnBr h2FiYqtXgN8pX7h6vDhYNWd80RKg0fxA7sRYoB7HCtel99BCcGOKvWbsr9hcFq3j EPtf81OdtqlTI6x6uwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3ncKb3ppnuXs7NtizXtdHcKcj sfSIhS3E23j5Z4pxYfj3c3ipP8/gxu93/9b6qSQnQ87NRACf8NBbpr1XYR1kGkNK cRk+u1QsKsVyYP8QoMtnCPbxaIAxZ9qc2o8eFPt44IbOFNo4TS682ZnrgvCIl/D+ taf9I8jbrBTSbfxQ3wIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCNdG6Kp5B6EHKVsENf2QudkLfe TMzETNDGBk5cvGpj3On70vZGODVj/WfRe2iHyVE0ykT/iXXtb/C5gw3FePCSGVja 5S3qH9xh6Ncw5sFrsdgBbm7qPYSbRmux2VTjHlLE44ckkTTCSiTUL3KX/08cU04V hb/JtNwKF5bg3ycuhQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCqqapIMkQJgyt8mfVLZRPIEU20 V8c3+JbWNCdtDrIucv5nsKxJ/hCCDCau8gVjNN5jWtLltoQ0NvwR94HZaUkXAjGq Iy+vvpc66SBLin8pJ/DzLtA3ouQBrYU2/9C75DrKGuCedEoAzoFkCjz/AokqjTkz xSIkf+5//Rpoj22lHwIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCHZ0EKaGTzyOxqaX2ePqAs46RU HhLRsApVWfO0z3BADXv4cv2iGjSXRZE1g7dU/KNEVZrjuBRaHksWpXKIwI6v7vSJ ZcxsaNRZNS+RTwJbu5VNc5uHBc5YPa7sdqocVrt3b6eXXPbn5gZcQY3L18TTd+S3 DljCC6h8BC80BJI6OQIDAQAB
-----END PUBLIC KEY-----

-----BEGIN PUBLIC KEY----- MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCkrR8CoTgor4sIybnVarCSWzMN RIoH51qIgCWDx49UQYXXqCn7I4T2XL7iOD5Fb/LO8LLS/BC7xNETIBGwUsOLMUXq 0LT3wlASZX4l491JPAAzlGfspmWqOnxwFZh4e2kqbix9uTGRw7oC0v7n6pACJSLW ybODvrXAfJlITYUYIQIDAQAB
-----END PUBLIC KEY-----
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
BC6D311143.exe
<random>.exe

Расположения:
%AppData%\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
exte1@msgden.net
exte2@protonmail.com
exte3@reddithub.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Marcelo Rivero
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Jolly Roger

Jolly Roger Ransomware

Keep Calm Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. При этом файлы отправляются на сервер вымогателей. Оригинальное название: Jolly Roger, по использованному изображению. На файле написано: SYD Suspension y Direccion и Liquidacion-Julio-SYD.exe.

© Генеалогия: EDA2 >> Jolly Roger (Keep Calm)

К зашифрованным файлам добавляется расширение .locked


"Весёлый Роджер" на обоях (был использован в шифровальщике)

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instructions.rtf

Jolly Roger Keep Calm Ransomware

Содержание записки о выкупе:
YOUR PC HAS BEEN INFECTED
Hello,
+We are the only ones in the world that can provide your files for you!
+When your PC was hacked, the files were encrypted and sent to a server we control!
+You must send 0.1 BTC about 250 USD to
15VUKaBP5YbNiKDhntf5FPAzzqJ9HYieEq
+Within 1 week from now to retrieve your files and prevent them from being leaked!
+When you have sent payment, please send email to luisa91@you-spam.com with:
1) Date Transaction
2) PC's Name
3) Email to send you the KEY
+Once we confirm the transaction, we'll send email with the key and the process to decrypt all your files
+Check your spam looking for Email Subject: AES Key lucky guy!
+You can purchase BITCOINS from many exchanges such as:
https://www.bitstamp.net/
https://www.bitfinex.com/
https://www.coinbase.com/
https://www.cryptsy.com/
https://localbitcoins.com/
or google for your country
*We are business people and treat customers well if you follow what we ask
*Remember your email is one-way, so don't do anything stupid
*And please don't waste time trying to decrypt with some local service, without the key is impossible, we use AES encryption
Thank you for your cooperation
Goodbye!

Перевод записки на русский язык:
Ваш ПК был заражен
Привет,
+ Мы единственные в мире, кто может вернуть вам ваши файлы!
+ Когда ваш компьютер был взломан, файлы были зашифрованы и отправлены на сервер, которым мы управляем!
+ Вы должны отправить 0,1 BTC около 250 долларов США
15VUKaBP5YbNiKDhntf5FPAzzqJ9HYieEq
+ В течение 1 недели с момента получения файлов и предотвращения их утечки!
+ Когда вы отправите платеж, отправьте письмо на адрес luisa91@you-spam.com:
1) Дата платежа
2) Имя ПК
3) Email, чтобы отправить вам ключ
+ Как только мы подтвердим платёж, мы отправим email с ключом и процесс для дешифрования всех ваших файлов
+ Проверьте свой спам, ищите Email Subject: AES Key lucky guy!
+ Вы можете приобрести BITCOINS на многих биржах, таких как:
xxxxs://www.bitstamp.net/
xxxxs://www.bitfinex.com/
xxxxs://www.coinbase.com/
xxxxs://www.cryptsy.com/
xxxxs://localbitcoins.com/
Или гуглите для вашей страны
* Мы деловые люди и хорошо обращаемся с клиентами, если вы следите за тем, что мы просим
* Помните, что ваша электронная почта в одну сторону, так что не делайте ничего глупого
* И, пожалуйста, не тратьте время на попытку расшифровки с помощью некоторой локальной службы, без ключа невозможно, мы используем шифрование AES
Спасибо за ваше сотрудничество
До свидания!


Информатором жертвы также выступает изображение, встающее обоями рабочего стола:



Содержание текста с обоев:
KEEP CALM AND RECOVER YOUR FILES
Read Instructions.rtf

Перевод текста на русский язык:
СОХРАНЯЙТЕ СПОКОЙСТВИЕ И ВЕРНЁТЕ СВОИ ФАЙЛЫ
Читайте Instructions.rtf

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3df8, .3gp2, .accdb, .adpb, .amxx, .ascx, .ashx, .asmx, .bmp, .cctor, .ctor, .ddcx, .disk, .divx, .djvu, .docm, .docx, .dotm, .dotx, .exe, .exif, .gthr, .gzig, .html, .indd, .itdb, .java, .jfif, .jiff, .jpeg, .mbox, .mpeg, ,pdf, .potm, .potx, .ppsm, .ppsx, .pptm, .pptx, .rsrc, .shar, .tax2013, .tax2014, .tbz2, .text, .thmx, .upoi, .wave, .wdgt, .wma, .wmdb, .wmmp, .xlam, .xlsb, .xlsm, .xlsx, .xltx, .xlwx, .xvid, .zipx (60 расширений). 

Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, видео и прочие типы файлов. 

Файлы, связанные с этим Ransomware:
liquidacion-julio-sydwfdp.scr.exe
Instructions.rtf
wall.jpg

Расположения:
\Desktop\Instructions.rtf

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
luisa91@you-spam.com
185.145.128.160:80 (Нидерланды)
xxxx://185.145.128.160/troll-100/instructions-ca.txt
xxxx://185.145.128.160/troll-100/savekey.php
xxxx://185.145.128.160/troll-100/createkeys.php
xxxx://185.145.128.160/troll-100/wall.jpg
xxxx://all400pples.org.in/
xxxx://all400pples.org.in/kjosh/fre.php
xxxx://www.all400pples.org.in/
xxxx://www.all400pples.org.in/doitone/fre.php
xxxx://www.all400pples.org.in/molina/fre.php
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Вариант от 31 августа 2017:
Сообщение >>
Email: michonne.027@fake-box.com
Испанская локализация крипто-вымогателя.
Результаты анализов: VT
Скриншоты >>




Вариант от 3 июня 2022:
С использованием Chaos Ransomware. 
Email: anonymoux@dnmx.org
Файл: Complaint document.exe
Результаты анализов: VT + IA





 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 Video review
 Thanks: 
 MalwareHunterTeam
 GrujaRS
 Karsten Hahn‏
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *