Если вы не видите здесь изображений, то используйте VPN.

среда, 2 августа 2017 г.

eBayWall

eBayWall Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем в записке жалуется на жадный eBay и просит выкуп $9 в крипто-валюте Monero, чтобы вернуть файлы. Оригинальное название. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ebay

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа и платёжными инструкциями называется: ebay-msg.html

Содержание записки о выкупе:
Welcome to ebaywall!
Many of your files were locked because of gross negligence.
This is about very weak security... So, to set the stage, quite a bit of back story is necessary:
The internet is extremely large and full of very expensive and very dangerous tools. I am at the internet at least six days a week, I know who is coming and going and what they are working on. When the internet police is not in the way, I unlock certain power tools to give the other users supervised access to what could potentially be very dangerous machinery. I do have a certain level of authority - I can kick people out of the internet, report them for tool-misuse, and effectively prevent them from passing their internet classes.
This story refers to a coder in one of the ebay sites and his monkey:
One night, fairty late, I hear some holes making a noise in the general kijiji ca area of the internet. I head that way to check it out - the noise sounded like someone was in a big hurry, which is a red flag that they might hurt someone with the tools. 
I get there and see a poor, tiny coder sitting on a stool while his monkey fiddles with his project. The coder is supposed to be using PHP code to make a bot blocker. Easy, easy project I check them out from a distance, see no safety violations as they are just setting up, and return to my own studio to do some work.
Now, bot blockers are fairly safe; the worst thing is that they slightly annoy you. But, bot blockers can also cause undefined behaviorand oil can be flung at your face; I have a tiny scar on my forehead from the same project four years ago. At a minimum, I require coders to wear idiot-proof safety gloves while coding bot blockers.
After about 5 minutes, I go to check up on them again. The monkey has effectively taken over the coder's project and is doing it for him. While that is a violation of the professional honesty code, this story concerns the safety violations and the massive butthurt when I told him to fix them. The monkey is coding some thin digits, his code INCHES from the extremely hot spaghetti zone.
Everyone who takes a coding class is given lengthy hacking demonstrations and are required to sign forms to confirm that they
understand what is required in order to use the tools. No form - no tools. The poor coder's monkey technically wasn't even supposed to use the tools and the coder knew. The poor coder also knew that they were both required to wearing safety gloves.
***текст сокращён***

Перевод записки на русский язык: (Google-перевод без коррекции)
Добро пожаловать в ebaywall!
Многие из ваших файлов были заблокированы из-за грубой небрежности.
Речь идет о очень слабой безопасности... Итак, чтобы создать сцену, требуется довольно немного предыстории:
Интернет чрезвычайно велик и полон очень дорогих и очень опасных инструментов. Я нахожусь в Интернете по крайней мере шесть дней в неделю, я знаю, кто придет и собирается и над чем они работают. Когда интернет-полиция не мешает, я разблокирую некоторые инструменты электропитания, чтобы дать другим пользователям возможность контролировать доступ к потенциально опасным машинам. У меня есть определенный уровень полномочий - я могу выгнать людей из Интернета, сообщить им о неправильном использовании инструмента и эффективно предотвратить их прохождение своих интернет-классов.
Эта история относится к кодеру в одном из сайтов ebay и его обезьяне:
Однажды вечером, поздно вечером, я слышал, как в общей области киджиджи в интернете звучат дыры. Я направляюсь так, чтобы проверить это - шум звучал так, как будто кто-то очень торопился, что является красным флагом, что они могут навредить кому-то инструментам.
Я добираюсь туда и вижу бедного крошечного кодера, сидящего на табурете, в то время как его обезьяна играет с его проектом. Предполагается, что кодер будет использовать PHP-код для создания бот-блокатора. Легкий, легкий проект Я проверяю их издалека, не вижу нарушений безопасности, поскольку они просто настраиваются, и возвращайтесь в свою собственную студию, чтобы сделать какую-то работу.
Теперь блокировщики ботов довольно безопасны; Хуже всего то, что они немного раздражают вас. Но, блокировщики бота также могут вызывать неопределенное поведение, а масло можно выбросить на лицо; У меня есть крошечный шрам на моем лбу из того же проекта четыре года назад. Как минимум, я требую, чтобы кодеры надевали защитные перчатки, защищенные от идиотов, при кодировании блокаторов ботов.
Примерно через 5 минут я снова проверю их. Обезьяна эффективно взяла на себя проект кодера и делает это для него. Хотя это является нарушением профессионального кода честности, эта история касается нарушений безопасности и массового батхёрт, когда я сказал ему, чтобы исправить их. Обезьяна кодирует некоторые тонкие цифры, его код INCHES из чрезвычайно горячей зоны спагетти.
Каждому, кто принимает класс кодирования, даются длительные демонстрации хакеров и требуется подписывать формы, чтобы подтвердить, что они
Понять, что требуется для использования инструментов. Нет формы - нет инструментов. Обезьяна плохого кодера технически даже не предполагала использовать инструменты, и кодер знал. Плохой кодер также знал, что оба они должны были носить защитные перчатки.
***текст сокращён***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
 .bak, .DAT, .DeskLink, .doc, .DTD, .jpg, .log, .MAPIMail, .mp3, .mydocs, .pdf, .png, .ppt, .sam, .scf, .shw, .theme, .tmp, .txt, .wav, .wb2, .wk4, .wmdb, .xls, .XML, .ZFSendToTarget (26 расширений)
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ebay-msg.html
ebaywall.exe (windows_app.exe)

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://kijijiapp.ca/windows_app.exe***
xxxx://kijijiapp.ca/kijiji_app.exe***
www.hsbc.com.hk (203.112.94.221)
www.google.com (216.58.209.228)
www.boc.cn (124.74.250.145)
www.wikipedia.org (91.198.174.192)
www.cbc.ca (92.122.201.170)
www.bigfishgames.com (208.77.152.196)
www.agame.com (93.184.221.131)
www.kongregate.com (192.33.31.104)
www.freeonlinegames.com (104.20.102.23)
www.arkadium.com (92.122.122.153)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as eBayWall)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jakub Kroustek‏
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

HelpYemen, RobinHood

HelpYemen Ransomware 

RobinHood Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 5 BTC, чтобы вернуть файлы. Мошенники прикрылись именем Робин Гуда, требуют деньги якобы в помощь йеменцам. Оригинальное название написано на файле, как подпись: Robinhood. Инфорация о версии: Robinhood 1.0.0.0

Обнаружения: 
DrWeb -> Trojan.Encoder.10598
BitDefender -> Trojan.GenericKD.5745716

© Генеалогия: Генеалогия: HiddenTear >>  RobinHood (HelpYemen)
Изображение - это только логотип статьи

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец июля - начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе: 
Help Yemen!!!
Bin Salman of Saudi Arabia is Killing poor and innocent people of Yemen by bombing, creating famine and disease!
You as a saudian or a supporter of their activities, are partner of his homicide, so you have been subjected to a ransomware attack and must accept one of the following:
a) Giving up all your information.
b) Pay five Bitcoins to help Yemeni people.
bitcoin address = 1ENn1BekzKXBobGuAFE1Yrin3e3vBjUAQH and send transaction link to:
decrypter.fi1es@gmx.com
c) use Tweeter to condemn Bin Salman for his crimes and ask him to stop the war against Yemen and make 100 users to retweet.
You have only 72:00 hours left.
your ID=*****
RobinHood

___ *Слово Tweeter написано с ошибкой. 

Перевод записки на русский язык: 
Помогите Йемену !!!
Бен Салман из Саудовской Аравии убивает бедных и невинных людей в Йемене бомбами, создавая голод и болезни!
Вы, как саудит или сторонник их деятельности, являетесь партнером своего убийства, поэтому вы подверглись нападению Ransomware и должны принять одно из следующих:
A) Отказаться от всей вашей информации.
B) Заплатить пять биткоинов, чтобы помочь йеменцам.
Bitcoin-адрес = 1ENn1BekzKXBobGuAFE1Yrin3e3vBjUAQH и отправить ссылку на транзакцию:
decrypter.fi1es@gmx.com
C) использовать Твитер для осуждения Бен Салмана за его преступления и попросить его прекратить войну против Йемена и сделать ретвиты 100 пользователям.
У вас осталось всего 72 часа.
Ваш ID = *****
Робин Гуд

Дублирует сообщение о выкупе скринлок, встающий обоями рабочего стола:

Содержание текста о выкупе:
HELP YEMEN
Bin Salman of Saudi Arabia is Killing poor and innocent people of Yemen by bombing, creating famine and disease!
You as a Saudian or a Supporter of their activities, are partner of his homicide. So you have been subjected to a ransomware attack and must accept one of the following:
a) Giving up all your information.
b) Pay five Bitcoins to help Yemeni people.
bitcoin address = 1ENn1BekzKXBobGuAFE1Yrin3e3vBjUAQH
and send transaction link to: decrypter.files@gmx.com
c) Use Tweeter to condemn Bin Salman for his crimes and ask him to stop the war against Yemen and make 100 users to retweet.
You have only 72:00 hours left.
Robin Hood

Перевод текста на русский язык:
ПОМОГИТЕ ЙЕМЕНУ
Бен Салман из Саудовской Аравии убивает бедных и невинных людей в Йемене бомбами, создавая голод и болезни!
Вы, как саудит или сторонник их деятельности, являетесь партнером его убийств. Таким образом, вы подверглись атаке Ransomware и должны принять одно из следующих:
A) Отказаться от всей вашей информации.
B) Оплатить пять биткойнов, чтобы помочь йеменцам.
Биткойн-адрес = 1ENn1BekzKXBobGuAFE1Yrin3e3vBjUAQH
И отправить ссылку на транзакцию: decrypter.files@gmx.com
C) использовать Твитер для осуждения Бен Салмана за его преступления и попросить его прекратить войну против Йемена и сделать ретвиты 100 пользователям.
У вас осталось всего 72 часа.
Робин Гуд



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


➤ Пытается изменить настройки системных сертификатов, добавить или заменить сертификаты. 
 UAC в Windows 7 не обходит. Требуется разрешение на запуск. Но даже при полученном разрешении запуска или при отключенной защите UAC потом вылетает с ошибкой. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Robinhood.exe
READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: syrian223.000webhostapp.com 
Email: decrypter.files@gmx.com
BTC: 1ENn1BekzKXBobGuAFE1Yrin3e3vBjUAQH
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  
VirusTotal анализ >>  VT+
Intezer анализ >>
ANY.RUN анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri‏
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Crystal

Crystal Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: CRYSTAL и Multi Client. На файле написано: Multi Client.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .CRYSTAL

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: [нет данных]
Запиской с требованием выкупа выступает экран блокировки: [нет данных]
***

Содержание записки о выкупе: [нет данных]

Перевод записки на русский язык: [нет данных]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
S5SCm.exe
HORVQJ4v.exe

Расположения:
%APPDATA%\S5SCm.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\HORVQJ4v.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Crystal)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

LockBox

LockBox Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: LockBox. На файле написано: data.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширения:
.trevinomason1@mail.com.vsunit
.trevinomason1@mail.com.vsunit2

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: [не указано]

Содержание записки о выкупе:
We found that all of your files are encrypted with AES-256 algorithm.
Fortunately, we can help you decrypt your files.
To help you, you must write a message to us on our email: trevinomasonl@mail.com.
In the message, you must write your PERSONAL KEY, which is written at the end of this manual, and you must also attach no more than 3 encrypted files of no more than 2 mb each.
If you didn't receive a reply within 24 hours after your message, please duplicate your message by email: salvatoreolsond598d@gmail.com
If after 24 hours you still have not received an answer, you need to register a tor-email on link http://torbox3uiot6wchz.onion.to or http://torbox3uiot6wchz.onion.gq
And write a message to the tor-mail: trevincmasonl@torbox3uiot6wchz.onion
ATTENTION! The message must be sent from the tor-email, otherwise it will not be delivered and will not be read by us.
Also you can register tor-email at the link http://torbox3uiot6wchz.onion (this link can only be opened in the tor browser https://www.torproject.org/)
----PERSONAL KEY----

Перевод записки на русский язык:
Мы обнаружили, что все ваши файлы зашифрованы с алгоритмом AES-256.
К счастью, мы можем помочь вам расшифровать ваши файлы.
Чтобы помочь вам, вы должны написать нам письмо по email: trevinomasonl@mail.com.
В сообщении вы должны написать свой PERSONAL KEY, который написан в конце этого руководства, и вы также должны прикрепить не более трех зашифрованных файлов объемом не более 2 мб каждый.
Если вы не получили ответ в течение 24 часов после вашего письма, дублируйте свое сообщение по email: salvatoreolsond598d@gmail.com
Если после 24 часов вы все равно не получили ответа, вам нужно зарегистрировать Tor-email по ссылке http://torbox3uiot6wchz.onion.to или http://torbox3uiot6wchz.onion.gq
И напишите сообщение на tor-mail: trevincmasonl@torbox3uiot6wchz.onion
ВНИМАНИЕ! Сообщение должно быть отправлено из почты Tor, иначе оно не будет доставлено и не будет прочитано нами.
Также вы можете зарегистрировать Tor-email по ссылке http://torbox3uiot6wchz.onion (эту ссылку можно открыть только в Tor-браузере https://www.torproject.org/)
---- PERSONAL KEY ----


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Написан на Delphi. Использует mORMot framework. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
data.exe
<random>.exe
bat4850245.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
trevinomason1@mail.com
salvatoreolsond598d@gmail.com
xxxx://torbox3uiot6wchz.onion.to
xxxx://torbox3uiot6wchz.onion.gq
xxxx://trevinomason1@torbox3uiot6wchz.onion
xxxx://www.schneier.com/***
xxxx://www.movable-type.co.uk/***
xxxx://tools.ietf.org/html/***
xxxx://www.ietf.org/***
xxxx://csrc.nist.gov/***
xxxx://trevinomason1@torbox3uiot6wchz.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 9 сентября 2017:
Пост в Твиттере >>
Расширение: .trevinomason1@mail.com.vsunit
Email: trevinomason1@torbox3uiot6wchz.onion
trevinomason1@mail.com
Результаты анализов: VT



 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LockBox)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.


Это 700-й пост блога!!!

вторник, 1 августа 2017 г.

TPS1.0

TPS1.0 Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: TPS1.0. На файле написано: TPS1.0.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops, your files have been encrypted!
Your important files are encrypted.
Many of your documents, photos, video, databases and other files are no longer accessible because they have encrypted. Maybe you can recover your files without our decryption service.
Can I Recover My Files ?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
You can decrypt some of your files for free. Try now by clicking <Decrypt>.
But if you want to decrypt some of your files, you need to pay.
Tou only have 3 days to submit the payment. After that the price will be doubled.
Also, if you don't pay in 7 days, you won't be able to recover your files forever.
We will have free events for users who are so poor that they couldn't pay in 6 months.
How Do I Pay ?
Payment is accepted in Bitcoin only. For more information, click <About bitcoin>.
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy bitcoins>.
And send the correct amount to the adress specified in window.
After your payment click <Check Payment>. Best time to check: 9:00am - 11:00am
GMT from Monday to Friday.
Once the payment is checked, you can start decypting your files immediately.

Перевод записки на русский язык:
Упс, ваши файлы были зашифрованы!
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше не доступны, т.к. они зашифрованы. Возможно, вы можете восстановить свои файлы без нашей службы расшифровки.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас мало времени.
Вы можете бесплатно расшифровать некоторые ваши файлы. Попробуйте, нажать кнопку <Decrypt>.
Но если вы хотите расшифровать некоторые из ваших файлов, вам нужно заплатить.
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите за 7 дней, вы не сможете восстановить свои файлы никогда.
У нас будут бесплатные мероприятия для пользователей, которые настолько бедны, что не могут заплатить через 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткойнах. Чтобы получить больше информации нажмите кнопку <About bitcoin>.
Пожалуйста, проверьте текущую цену биткойна и купите несколько биткойнов. Для получения дополнительной информации нажмите <How to buy bitcoins>.
И отправьте правильную сумму в адрес, указанный в окне.
После вашего платежа нажмите <Check Payment>. Лучшее время для проверки: 9:00 - 11:00 GMT с понедельника по пятницу.
Как только платеж будет проверен, вы можете сразу начать депиляцию файлов.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует графический шаблон WannaCry.

Список файловых расширений, подвергающихся шифрованию:
Пока не шифрует, но в будущем вполне может быть  нацелен ан следующие типы файлов: 
документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 
Делайте резервные копии, используйте антивирусы класса Internet Security.

Файлы, связанные с этим Ransomware:
TPS1.0.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

RSA2048Pro

RSA2048Pro Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует связаться по email с вымогателями, чтобы вернуть файлы. Написан на C#. Оригинальное название: не указано. На файле написано: enbild.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: RSA2048Pro > Pulpy, Rozlok 

К зашифрованным файлам добавляется расширение .aes

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instruction.txt

Содержание записки о выкупе:
Hello! Your files have been automatically protected using RSA-2048 to prevent any possible case of identity theft, this is for your own security. To resolve this issue kindly contact us on by email rsa2048pro@unseen.is

Перевод записки на русский язык:
Привет! Ваши файлы автоматически защищены с RSA-2048 для предотвращения возможной кражи личных данных, для вашей безопасности. Для решения проблемы пишите нам на email: rsa2048pro@unseen.is



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, заражённых сайтов автомобильной тематики, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Примечательно, что сначала шифрует файлы, написанные за последние 3 месяца. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
enbild.exe
Instruction.txt
VID484727190.exe

Расположения:
\Desktop\ -> Instruction.txt
\User_folders\ -> Instruction.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://files.mykoleso.com/Infected With Malware
xxxx://files.mykoleso.com/431f30824ef734dcd8d2dbbcddbbeb80.jpg.{EXE}
xxxxs://whoer.net/download/whoer.exe
Email: rsa2048pro@unseen.is
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


Примечание 1 (подробности в статье):
1) Шифрование: 
Генерирует открытые и закрытые RSA-ключи.
Генерирует случайное число как вход (пароль) для генерации AES-ключа.
Шифрует файлы, используя вновь созданного AES-ключ.
Шифрует AES-ключ с открытым RSA-ключом.
Добавляет зашифрованный AES-ключ в зашифрованный файл.

2) Дешифрование: 
Находит зашифрованный файл.
Находит файл для зашифрованного AES-пароля.
Считывает из памяти зашифрованный пароль для AES-ключа.
Использует закрытый RSA-ключ для дешифрования AES-пароля.
Использует простой текст этого пароля как вход для AES-дешифрования.

-----

Обновление от 9 апреля 2018:
Пост в Твиттере >>
Расширение: .aes
Email: morghoolius-valaar@protonmail.com
Файл: enbild.exe
Также используются  названия: ShiOne, Pulpy & Rasoon
Содержание записки: 
Hello. There are vulnerabilities detected on your server. All your files are encrypted. For information on decoding, please write to the e-mail morghoolius-valaar@protonmail.com
Результаты анализов: VT

Обновление от 11 апреля 2018:
Пост в Твиттере >>
Email: gennadiybukin@tutanota.com
pavlikmorozov@india.com
Содержание записки:
Your files are encrypted with a special key. No one will help you, only the key that can be purchased from us. I recommend to write faster, otherwise the price will grow as a key.
gennadiybukin@tutanota.com pavlikmorozov@india.com
Результаты анализов: VT

Обновление от 17 мая 2018:
Расширение: .aes
Записка: Instruction.txt
Файл: enbild.exe
Результаты анализов: VT


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RSA2048Pro)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *