Если вы не видите здесь изображений, то используйте VPN.

понедельник, 21 августа 2017 г.

Cyron

Cyron Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 50 Euro PaySafeCard, чтобы вернуть файлы. Оригинальное название: Cyron. Представляется как программа для борьбы с порносайтами и педофилией. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .CYRON

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
CYRON INSTALLED
We have to lock your Computer in this regard until the Police visited you.
We detected Children Pornsites in your Browser History
You dont have a Key already?
No Problem you can buy it via E-Mail
Enter Key to unlock your Computer and get your Deleted Files back:
Just write an E-Mail to ProjectCyRoN@candymail.de
After you send us a PaySafeCard with 50€ and your Computerlnformations that we know what target we have to send the Key
[ShutDown]
We the government's July 31 order directing internet Service Providers (ISPs) to block 857 porn sites came after Additional Solictor General Pinky Anand conveyed to the Department of Electronics and Information Technology (DeitY) the Supreme Court's observation
that "appropriate steps" were needed against pornographic sites, especially those featuring child pornography. So now we developed CyRoN that doing our work a lot easier, for example we detected 349 pedophiles in 2 weeks.

Перевод записки на русский язык:
CYRON INSTALLED
Мы должны заблокировать ваш компьютер, пока полиция не посетит вас.
Мы обнаружили детские порносайты в истории вашего браузера 
У вас уже нет ключа?
Нет проблем, вы можете купить его через E-Mail
Введите ключ, чтобы разблокировать компьютер и вернуть свои удаленные файлы:
Просто напишите E-Mail на ProjectCyRoN@candymail.de
После того, как вы пришлете нам PaySafeCard на 50 евро и вашими компьютерными изменениями, мы узнаем, какую цель мы должны отправить на ключ
[ShutDown]
Постановление правительства от 31 июля обязывает интернет-провайдеров (ISP) блокировать 857 порносайтов ... «соответствующие меры» необходимы в отношении порносайтов, особенно с участием детской порнографии. Поэтому мы разработали CyRoN, который делает нашу работу намного проще, например, мы обнаружили 349 педофилов за 2 недели.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
ProjectCyRoN@candymail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Это может быть дешифровано
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

пятница, 18 августа 2017 г.

Error CryptoMix

Error Ransomware

Error CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует связаться по email, что бы уплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: Golf. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> Error ⇔ Empty

К зашифрованным файлам добавляется расширение .ERROR

Примеры зашифрованных файлов: 
36C25A08104EA9E6B8B1F4AC14CC8926.ERROR
60D5DA5245B33BEC58912A3F4A562010.ERROR
633F8C4606BE68F4DB9DD0B30B7F45EC.ERROR

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
error01@msgden.com, 
error02@webmeetme.com
error03@protonmail.com
We will help You as soon as possible!
DECRYPT-ID-16da203M-861A-R3CE-5372-Lb766e168c33 number

Перевод записки на русский язык:
Привет!
Все Ваши данные зашифрованы!
Для подробной информации отправьте нам email с Вашим ID номером
error01@msgden.com, 
error02@webmeetme.com
error03@protonmail.com
Мы поможем Вам как можно скорее!
DECRYPT-ID-16da203M-861A-R3CE-5372-Lb766e168c33 number



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Выполняет деструктивные команды:
cmd.exe /C sc stop VVS
cmd.exe /C sc stop wscsvc
cmd.exe /C sc stop WinDefend
cmd.exe /C sc stop wuauserv
cmd.exe /C sc stop BITS
cmd.exe /C sc stop ERSvc
cmd.exe /C sc stop WerSvc
cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe

Расположения:
C:\ProgramData\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: error01@msgden.com
error02@webmeetme.com
error03@protonmail.com 
См. ниже результаты анализов.

Связанные публичные ключи:
См. статью на сайте BC. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer, Lawrence Abrams
 Michael Gillespie
 *
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 17 августа 2017 г.

MoonCryptor

MoonCryptor Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует заплатить за 20 минут, чтобы вернуть файлы. Оригинальное название: MoonCryptor. На файле написано: MoonCryptor.exe. Разработчик: Timmy.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .fmoon

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
MOON DECRYPTOR
WHAT HAPPENED ???
Oops all your data are encrypted !!
This is a ransomware AES 256 + RS A 1024!! Look at Wikipedia for morę informations
Please pay before 20 minutes oryour datalll be lost forever. I'll delete a file per minutę after!
Copy and past this link in Internet Explorer or Firefox :
http://10.10.3.1/panel/decipher.php
and enter your informations :
Your UUID :
Encrypted key   iBtSvjYAVWaJslcc4Hn/nMIMrg+bUgA0W4g***
If you obtain your passord, take it here and click on RECOVER
button [RECOYER]

Перевод текста на русский язык:
MOON DECRYPTOR
ЧТО СЛУЧИЛОСЬ ???
Все ваши данные зашифрованы!
Это выкуп AES 256 + RS A 1024! Посмотрите в Википедии для подробную информации
Пожалуйста, оплатите за 20 минут или вы потеряете навсегда. Я удалю файл минутой позже!
Скопируйте и пройдите по этой ссылку в Internet Explorer или Firefox:
xxxx://10.10.3.1/panel/decipher.php
И введите информацию:
Ваш UUID:
Ключ шифрования iBtSvjYAVWaJslcc4Hn / nMIMrg + bUgA0W4g ***
Если вы получите свой пароль, вставьте его здесь и нажмите кнопку RECOVER
кнопка [RECOYER]


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MoonCryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Файлы можно дешифровать!!! 
Вам поможет Майкл Джиллеспи. 
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MoonCryptor)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

среда, 16 августа 2017 г.

ClicoCrypter

ClicoCrypter Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выполнить условия, чтобы вернуть файлы. Оригинальное название: ClicoCrypter.

© Генеалогия: ClicoCrypter > ClicoCrypter-2

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на польскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READMYFIRST.info
Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста о выкупе:
Wszystkie twoje pliki zostały zaszyfrowane. Aby je odzyskać oplac abonament ADB/TVR na najblizesz dzisiec lat. Nastepnie wejdź na stoi i krzyknij "JESTEM KRÓLEM ZWIERZĄT. Twoje pliki zostana przywrocone.
Masz na to 15 minut
KLUCZ SZYFRUJĄCY:
019bc94b0fb7f50d7b9379b3aaf09530de951***

Перевод текста на русский язык:
Все ваши файлы зашифрованы. Для того, чтобы восстановить их, нужна платная подписка ADB/TVR на ближайшие 10 лет. Затем подойти к стендам и кричать "Я король зверей". Ваши файлы будут восстановлены.
У вас 15 минут
Ключ шифрования:
019bc94b0fb7f50d7b9379b3aaf09530de951***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (фальшивый PDF-файл - PDF.EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READMYFIRST.info
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.clico.pl
www.epg.org.pl
nfsjfnsdnfoeitpfsdfsd.onion
fdslkfsdkjfsjdkfjksdiewjrjkfjsdkfjd.org.pl
fdskjfsdkjfkdjsf.onion
fsdlkfsdkljfksjd.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ClicoCrypter)
 Write-up, Topic of Support
 🎥 Video review
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.


шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

вторник, 15 августа 2017 г.

Anubi NotBTCWare

Anubi NotBTCWare Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия BTCWare > Anubi 

Внимание!
Поставлен значок  - "ножницы", указывающий на заимствование, потому что содержание записки о выкупе выглядит как у BTCWare-Aleta.

К зашифрованным файлам добавляется составное расширение по шаблону .[<email>].anubi

В данном случае это: .[anubi@cock.li].anubi

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __READ_ME_.txt

Содержание записки о выкупе:
[WHAT HAPPENED]
Your important files produced on this computer have been encrypted due a security problem
If you want to restore them, write us to the e-mail: anubi@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.  
[FREE DECRYPTION AS GUARANTEE]
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information
and their total size must be less than 1Mb  
[HOW TO OBTAIN BITCOINS]
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller
by payment method and price
xxxxs://localbitcoins.com/buy_bitcoins
xxxxs://paxful.com/buy-bitcoin
xxxxs://bitcointalk.org/  
[ATTENTION]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files  
Your ID:
***

Перевод записки на русский язык:
[ЧТО СЛУЧИЛОСЬ]
Ваши важные файлы, созданные на этом компьютере, были зашифрованы из-за проблемы с безопасностью
Если вы хотите их восстановить, напишите нам на e-mail: anubi@cock.li
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы пишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
[БЕСПЛАТНАЯ ДЕКРЕПЦИЯ КАК ГАРАНТИЯ]
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования.
Обратите внимание, что файлы НЕ должны содержать ценную информацию
И их общий размер должен быть меньше 1 Мб
[КАК ПОЛУЧИТЬ БИТКОИНЫ]
Самый простой способ купить биткоины - сайт LocalBitcoins.
Вам надо зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца
По способу оплаты и цене
xxxxs://localbitcoins.com/buy_bitcoins
xxxxs://paxful.com/buy-bitcoin
xxxxs://bitcointalk.org/
[ВНИМАНИЕ]
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к утрате данных
Если вы не напишете на email за 36 часов - ваш ключ будет удален, и вы не сможете расшифровать свои файлы
Ваш ID:
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Целевые файлы шифруются частично. Более того, работает этот шифровальщик очень медленно, потому у жертв есть шанс обнаружить его до того, как он доведет свою работу до конца. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
__READ_ME_.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Acrobat Optimizer x86 "[ransomware_executable].exe" -autorun
См. ниже результаты анализов.

Сетевые подключения и связи:
anubi@cock.li
xxxxs://localbitcoins.com/buy_bitcoins
xxxxs://paxful.com/buy-bitcoin
xxxxs://bitcointalk.org/ 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet (October 12)
 ID Ransomware (ID as Anubi)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 S!Ri
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

BRansomware

BRansomware Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BRansomware. На файле написано: BRansomware.exe. Разработчик: sniper. Среда разработки: Visual Studio 2017. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .GG

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа отсутствует. Вместо неё отображается только следующее изображение. Как говорится "Догадайся сам!". 


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BRansomware.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Crypt12

Crypt12 Ransomware

KristinaCS Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Написан на языке .NET. Оригинальное название: crypt12. На файле написано: crypt12.exe. Среда разработки: Visual Studio 2015.  
---
Обнаружения:
DrWeb -> Trojan.Encoder.15080, Trojan.Encoder.15081
ALYac -> Trojan.Ransom.Crypt12, Trojan.Ransom.Kristina
BitDefender -> Trojan.Agent.CLHB, Trojan.Ransom.BVR
ESET-NOD32 -> MSIL/Filecoder.Crypt12.A, A Variant Of MSIL/Filecoder.Crypt12.A
Microsoft -> Ransom:MSIL/Natiris.A
Rising -> Ransom.Agent!8.6B7 (CLOUD), Virus.Ramnit!8.4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.114934a7
TrendMicro -> Ransom_CRYPTWELVE.A, Ransom_ANITSIRK.B
---

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .crypt12
Зашифрованные файлы принимают вид по шаблону:
filename.extension=id=<email_for_ransom>.crypt12

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!!readme!!!.txt

Содержание записки о выкупе:
Your files Have Been Crypted email to:
mortalis_certamen@aol.com for instuctions;

Перевод записки на русский язык:
Ваши файлы зашифрованы, email для инструкций:
mortalis_certamen@aol.com


Запиской с требованием выкупа выступает также загружаемое изображение, содержащее тот же текст. 

Содержание записки о выкупе:
Your files Have Been Crypted email to:
mortalis_certamen@aol.com for instuctions;

Перевод записки на русский язык:
Ваши файлы зашифрованы, email для инструкций:
mortalis_certamen@aol.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для шифрования используется графический интерфейс. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
crypt12.exe
!!!!readme!!!.txt
sys.bat

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
mortalis_certamen@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновления ноября 2017:
Email: hello@boomfile.ru
hernansec@protonmail.ch

Обновление от 5 февраля 2018:
Сообщение >>
Расширение: .crypt12
Файл: KristinaCS.exe
Email: hernansec@protonmail.ch
Результаты анализов: VT



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик!
СкачайтеCrypt12Decrypter по ссылке:
https://download.bleepingcomputer.com/demonslay335/Crypt12Decrypter.zip
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Crypt12)
 Write-up, Topic of Support
 * 
 Thanks: 
 xXToffeeXx, Michael Gillespie
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *