Если вы не видите здесь изображений, то используйте VPN.

понедельник, 14 августа 2017 г.

Xorist-CerBerSysLock

Xorist-CerBerSysLock Ransomware

CerberImposter Ransomware  

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. Фальш-имя: Cerber Ransomware. Это можно назвать  CerberImposter. т.к. он выдает себя за Cerber Ransomware.  

© Генеалогия: Xorist >> Xorist-CerBerSysLock

К зашифрованным файлам добавляется расширение .CerBerSysLocked0009881

Этот шифровальщик не только шифрует файлы, но и забивает нулями начало файлов, а небольшие файлы только переименовывает. 

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. и продолжилась в декабре. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Записка, использованная в августе, не была предоставлена, потому для образца мы использовали запсику от 7 декбаря 2017. По сути они почти одинаковые. 


Содержание записки о выкупе:
Problem with your Files ?
Don't worry! Your files are SAFE!
Files are Backed up by our Service!
***
Hi, I'am CERBER RANSOMWARE ;)
YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
The only way to decrypt your files is to receive the private key and decryption program.
Contact Email : TerraBytefiles@scryptmail.com
Subject PRIVATE-ID: CerBerSysLocked0009881
!!! ANY ATTEMPTS TO RESTORE YOUR FILES WITH THE THIRD-PARTY SOFTWARE WILL BE FATAL FOR YOUR FILES. !!!
!!! IF YOU ATTEMPT TO RECOVER YOUR DATA WITH OTHER SOFTWARE THE RANSOMWARE WILL SE THIS ACTION.!!!
!!! AND WILL GENERATE ANOTHER CODE ON THE FILES THAT WILL BE IMPOSSIBLE TO RECOVER THEM BACK.!!!
!!!!!PLEASE NE REZONABLE!!!!!
!!! AND FOLLOW THE INSTRUCTION BY CONTACTING THE EMAIL ADDRESS ABOVE. !!!

Перевод записки на русский язык:
Проблема с файлами?
Не волнуйтесь! Ваши файлы ЦЕЛЫ!
Файлы защищены нашим сервисом!
Привет, я CERBER RANSOMWARE;)
ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
Контактный email-адрес: TerraBytefiles@scryptmail.com
Тема письма PRIVATE-ID: CerBerSysLocked0009881
!!! ЛЮБЫЕ ПОПЫТКИ  ВОССТАНОВЛЕНИЯ ВАШИХ ФАЙЛОВ С ПРОГРАММАМИ  ТРЕТЬЕЙ СТОРОНЫ БУДУТ ФАТАЛЬНЫ ДЛЯ ВАШИХ ФАЙЛОВ. !!!
!!! ЕСЛИ ВЫ ПОПЫТАЕТЕСЬ ВОССТАНОВИТЬ ВАШИ ДАННЫЕ С ДРУГИМИ   ПРОГРАММАМИ, RANSOMWARE ЗАМЕТИТ ЭТО ДЕЙСТВИЕ. !!!
!!! И СОЗДАСТ ДРУГОЙ КОД ДЛЯ ФАЙЛОВ, КОТОРЫЕ БУДЕТ НЕВОЗМОЖНО  ВЕРНУТЬ НАЗАД. !!!
!!!!! ПОЖАЛУЙСТА, НЕ ПЕРЕДЕЛЫВАЙТЕ !!!!!
!!! И СЛЕДУЯ ИНСТРУКЦИИ НАПИШИТЕ НА EMAIL-АДРЕС ВЫШЕ. !!!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, загрузчика Trickbot, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
asdofbuasdif.exe 
<random>.exe
HOW TO DECRYPT FILES.txt

Расположения:
%APPDATA%\services\<random>.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: 
TerraBytefiles@scryptmail.com
Email-2: Cerber_RansomWare@qq.com
См. ниже результаты анализов.

Результаты анализов:
Hybrid Analysis - файл Trickbot >>
VirusTotal - файл Trickbot >>
VXvault.net на файл Trickbot >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 7 декабря 2017: 
Записка: HOW TO DECRYPT FILES.txt
Расширение: .Cerber_RansomWare@qq.com
Email: TerraBytefiles@scryptmail.com, Cerber_RansomWare@qq.com
Записка: HOW TO DECRYPT FILES.txt


Содержание записки о выкупе:
Problem with your Files ?
Don't worry! Your files are SAFE!
Files are Backed up by our Service!
You need to buy Cerber Decryptor v5.0 updated 2017-November
Hi, I'am CERBER RANSOMWARE ;)
YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
The only way to decrypt your files is to receive the private key and decryption program.
Contact Email : TerraBytefiles@scryptmail.com
Subject PRIVATE-ID: CerBerSysLocked0009881
!!! ANY ATTEMPTS TO RESTORE YOUR FILES WITH THE THIRD-PARTY SOFTWARE WILL BE FATAL FOR YOUR FILES. !!!
!!! IF YOU ATTEMPT TO RECOVER YOUR DATA WITH OTHER SOFTWARE THE RANSOMWARE WILL SE THIS ACTION.!!!
!!! AND WILL GENERATE ANOTHER CODE ON THE FILES THAT WILL BE IMPOSSIBLE TO RECOVER THEM BACK.!!!
!!!!!PLEASE NE REZONABLE!!!!!
!!! AND FOLLOW THE INSTRUCTION BY CONTACTING THE EMAIL ADDRESS ABOVE. !!!






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 
Внимание!  
Для зашифрвоанных файлов есть дешифровщик. 
Скачайте Emsisoft Decryptor for Xorist по ссылке >>
 Thanks: 
 Michael Gillespie, S!Ri, Alex Svirid
 Andrew Ivanov (article author)
 *** 

© Amigo-A (Andrew Ivanov): All blog articles.

TBHRanso

TBHRanso Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Оригинальное название: TBHRanso, указано в записке о выкупе. На файле написано: TbhBotNet.v1.exe, schtasks.exe.

Обнаружения: 
DrWeb -> Trojan.DownLoader25.14858
BitDefender -> Gen:Variant.MSILPerseus.113859, Gen:Variant.Dropper.182
Malwarebytes -> Backdoor.Bot, Ransom.TBHRanso

© Генеалогия: HiddenTear >> TBHRanso

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
This computer has been hacked
Your personal files have been ecrypted. Send me 100$ btc to
(1MMphN2Rc5xCf4TGTVXQ6B8VSbYdQyCgYS) to get decryption passcode.
After that,SEND ME YOUR (PC NAME) to tbhranso@protonmail.com,
you'll be able to see your beloved files again,
With love... TBHRanso Virus :')

Перевод записки на русский язык:
Этот компьютер был взломан
Ваши личные файлы были зашифрованы. Пришлите мне 100$ в BTC
(1MMphN2Rc5xCf4TGTVXQ6B8VSbYdQyCgYS), чтобы получить код расшифровки.
После этого НАПИШИТЕ МНЕ (ИМЯ ПК) на tbhranso@protonmail.com,
вы сможете снова увидеть ваши любимые файлы,
С любовью ... Вирус TBHRanso: ')



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
schtasks.exe
TbhBotNet.v1.exe
VID484488236.exe
TbhBotNet.v1.pdb
2444.jpg
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://overaim.cc (108.179.217.55, США)
URL: xxxx://overaim.cc/2444.jpg
Email: tbhranso@protonmail.com
BTC: 1MMphN2Rc5xCf4TGTVXQ6B8VSbYdQyCgYS
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >> VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, 
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 10 августа 2017 г.

WininiCrypt

WininiCrypt Ransomware

ChoDambler Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: crypt. На файле написано: winini.exe и crypt. Написан на языке .NET 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .[cho.dambler@yandex.com]

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_BACK_FILES.html

Записка внешне похожа на ту, что используется в разных вариантах Globe и GlobeImposter, но это не вариация Globe или GlobeImposter, т.к. данный крипто-вымогатель написан на языке .NET

Содержание записки о выкупе:
All your files have been encrypted!
Your personal ID
12345678
All your files have been encrypted due to a security problem with your PC.
If you want to restore them, write us to the e-mail: cho.danibler@yandex.com
How to obtain Bitcoins
• The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
• https://localbitcoins.com/buy_bitcoins
• Also you can find other places to buy Bitcoins and beginners guide here:
• http:/wwww.coindesk.com/information/how-can-i-buy-bitcoins/
Free decryption as guarantee
• Before paying you can send to us up to 1 files for free decryption.Please note that files must NOT contain valuable information and their total size must be less than 5Mb
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Ваш личный ID
12345678
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК.
Если вы хотите их восстановить, напишите нам на e-mail: cho.danibler@yandex.com
Как получить биткойны
• Самый простой способ купить биткойны - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
• https://localbitcoins.com/buy_bitcoins
• Также вы можете найти другие места, чтобы купить биткойны и руководство для начинающих здесь:
• http://wwww.coindesk.com/information/how-can-i-buy-bitcoins/
Бесплатное дешифрование в качестве гарантии
• Перед оплатой вы можете отправить нам 1 файл для бесплатного дешифрования. Обратите внимание, что файлы НЕ должны содержать ценную информацию, а их общий размер должен быть меньше 5 Мб
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов командой:
vssadmin Delete Shadows /All /Quiet

Использует легитимную программу зачистки SDelete (файл sdelete.exe), предназначенную как для удаления файлов, так и для зачистки данных на свободных участках жёсткого диска (включая уже удаленные файлы). 

Целевые системы:
Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 10

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
winini.exe
HOW_TO_BACK_FILES.html

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
EmaIcho.dambler@yandex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 21 августа 2017:
Пост в Твиттере >>
Записка: HOW_TO_BACK_FILES.html
Расположение: C:\Windows\info.html
Email: cho.dambler@yandex.com
Расширение: .[cho.dambler@yandex.com]
Результаты анализов: VT

Обновление от 23 февраля 2018:
Пост в Твиттере >>
Файл: SetupCrypt.exe
Результаты анализов: VT




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 июня 2018:
Всё еще активен. 
Пример темы на форуме >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WininiCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 9 августа 2017 г.

Locky-Diablo6

Diablo6 Ransomware

Locky-Diablo6 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в ~0.5 BTC, чтобы вернуть файлы. Оригинальное название: Diablo6. По факту это новая итерация Locky.
This Locky's logo was developed on this site ID-Ransomware.RU

© Генеалогия: LockyLocky-Diablo6

К зашифрованным файлам добавляется расширение .diablo6

С использованием расширения .diablo6 зашифрованные и переименованные файлы будут иметь "шестиэтажное" название и называться примерно так: 
E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.diablo6
E87091F1-D24A-922B-2D3DE886-11A710D2879A.diablo6
E87091F1-D24A-922B-3CC4638D-DC7FA7A450AF.diablo6

Разложим на составляющие названия файл E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.diablo6

E87091F1 — первые восемь 16-ричных символов от ID E87091F1D24A922B
D24A — другие четыре 16-ричных символов от ID E87091F1D24A922B
922B — другие четыре 16-ричных символов от ID E87091F1D24A922B
00F6B112 — восемь 16-ричных символов, входящих в переименованное название файла
72BB7EA6EADF — двенадцать 16-ричных символов, входящих в переименованное название. 

Шаблон можно записать так:
[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[8_hexadecimal_chars]-[12_hexadecimal_chars].diablo6
или
[first_8_hex_chars_of_id]-[next_4_hex_chars_of_id]-[next_4_hex_chars_of_id]-[8_hex_chars]-[12_hex_chars].diablo6
или
[8_hex_chars_of_id]-[4_hex_chars_of_id]-[4_hex_chars_of_id]-[8_hex_chars]-[12_hex_chars].diablo6

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: diablo6-<random>.htm или diablo6-<a-z][0-9]{4}>
где диапазон [a-z] означает буквы английского алфавита, [0-9] - означает цифры от 0 до 9, а {4} - количество знаков - в данном случае четырех. 
Примеры записки: 
diablo6-72e4.htm
diablo6-2ab5.htm
diablo6-n32f.htm

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
xxxxs://en.wikipedia.org/wiki/RSA_(crytosystem)
xxxxs://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion/E87091F1D24A922B
4. Follow die instructions on the site.
!!! Your personal identification ID: E87091F1D24A922B !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы шифрами RSA-2048 и AES-128.
Более подробную информацию о RSA и AES можно найти здесь:
xxxxs://en.wikipedia.org/wiki/RSA_(crytosystem)
xxxxs://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Дешифрование ваших файлов возможно только с секретным ключом и программой дешифровки, которая есть на нашем секретном сервере.
Чтобы получить свой секретный ключ, идите по одной из ссылок:
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor Browser: https://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: g46mbrrzpfszonuk.onion/E87091F1D24A922B
4. Следуйте инструкциям на сайте.
!!! Ваш идентификационный номер: E87091F1D24A922B !!!


Записка с требования выкупа дублируется скринлоком, встающим обоями рабочего стола.


После перехода по ссылка на Tor-сайт вымогателей пострадавший узнает о сумме, которую ему нужно выплатить, это примерно ~0.5 BTC.


Скриншот сайта Locky Decryptor с требованиями


Содержание текста о выкупе:
Locky Decryptor™
We present a special software - Locky Decryptor™ -
which allows to decrypt and return control to all your encrypted files.
How to buy Locky Decryptor™?
    1. You can make a payment with BitCoins, there are many methods to get them.
    2. You should register BitCoin wallet:
    Simplest online wallet or Some other methods of creating wallet
    3. Purchasing Bitcoins, although it's not yet easy to buy bitcoins, it's getting simpler every day.
    Here are our recommendations:
    localbitcoins.com (WU) Buy Bitcoins with Western Union.
    coincafe.com Recommended for fast, simple service.
    Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, in person.
    localbitcoins.com Service allows you to search for people in your community willing to sell bitcoins to you directly.
    cex.io Buy Bitcoins with VISA/MASTERCARD or wire transfer.
    btcdirect.eu The best for Europe.
    bitquick.co Buy Bitcoins instantly for cash.
    howtobuybitcoins.info An international directory of bitcoin exchanges.
    cashintocoins.com Bitcoin for cash.
    coinjar.com CoinJar allows direct bitcoin purchases on their site.
    anxpro.com
    bittylicious.com
    4. Send 0.4948 BTC to Bitcoin address:
    Note: Payment pending up to 30 mins or more for transaction confirmation, please be patient...
    Date Amount BTC Transaction ID Confirmations
    2016-04-21 13:54:35 0.0052 547b53c6319008189e8476e2a6fe2f7962c5014f9bf1b6c3e712a62f3169fd7f 73085
    5. Refresh the page and download decryptor.
    When Bitcoin transactions will receive one confirmation, you will be redirected to the page for downloading the decryptor.

Перевод текста на русский язык:
Locky Decryptor™
Мы представляем специальную программу - Locky Decryptor ™ -
Которая позволяет расшифровывать и возвращать управление всеми вашими зашифрованными файлам.
Как купить Locky Decryptor ™?
    1. Вы можете сделать платеж с помощью биткойнов, есть много способов их получить.
    2. Вы должны зарегистрировать кошелек-кошелек:
    Самый простой онлайн-кошелек или некоторые другие способы создания кошелька
    3. Приобрести биткойны, хотя покупать биткойны еще непросто, с каждым днем ​​становится все проще.
    Вот наши рекомендации:
    Localbitcoins.com (WU) Купить биткойны с Western Union.
    Совместный подход. Рекомендуется для быстрого и простого обслуживания.
    Способы оплаты: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. В Нью-Йорке: кошелек-банкомат, наличными.
    Localbitcoins.com Service позволяет вам искать людей в вашем сообществе, готовых напрямую продавать вам биткойны.
    Cex.io Купить биткойны с VISA / MASTERCARD или банковским переводом.
    Btcdirect.eu - Лучшее для Европы.
    Bitquick.co - Купить биткойны мгновенно за наличные.
    Howtobuybitcoins.info - Международный каталог биткойн-бирж.
    Cashintocoins.com - Биткойн за наличные.
    Coinjar.com CoinJar позволяет напрямую покупать биткойн на своем сайте.
    anxpro.com
    bittylicious.com
    4. Отправьте 0.4948 BTC на биткойн-адрес:
    Примечание. Для подтверждения транзакции нужно до 30 минут или более, пожалуйста, будьте терпеливы ...
    Дата Сумма BTC Транзакции ID Подтверждение 
    2016-04-21 13:54:35 0,0052 547b53c6319008189e8476e2a6fe2f7962c5014f9bf1b6c3e712a62f3169fd7f 73085
    5. Обновите страницу и загрузите дешифратор.
    Когда транзакции Bitcoin получат одно подтверждение, вы будете перенаправлены на страницу для загрузки дешифратора.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Эти письма имеют вложенный файл ZIP, с нем же именем, что и строка темы, содержащий VBS-скрипт загрузчика. В нём содержится один или несколько URL-адресов, которые скрипт будет использовать для загрузки исполняемого файла Locky-Diablo6 в папку %Temp%, а затем запустит его.
Скриншот спам-письма с вредоносным вложением

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
E 2017-08-09 (698).docx {ZIP,VBS} - вредоносное вложение к письму.
diablo6.htm
diablo6-<random>.htm
diablo6.bmp
sys<random>.tmp

Расположения: 
%TEMP%\sys<random>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://g46mbrrzpfszonuk.onion/***
xxxx://g46mbrrzpfszonuk.onion/E87091F1D24A922B
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на VBS >>
VirusTotal анализ на Payload >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Locky)
 Write-up, Topic of Support, Write-up on MBL
 * 
 Thanks: 
 BleepingComputer, Lawrence Abrams
 Michael Gillespie
 Marcelo Rivero
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.


шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *