Если вы не видите здесь изображений, то используйте VPN.

пятница, 25 августа 2017 г.

Ransomnix

Ransomnix Ransomware

Ransomnix-Crypt Ransomware

Ransomnix-Charm Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 -1 BTC, чтобы вернуть файлы. Оригинальное название: Ransomnix
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key Removal Report Virus Removal Guide Как избавиться от Ransomware ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Crypt 


Ransomnix Ransomware
Изображение принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на июнь-август 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: [нет данных]
Запиской с требованием выкупа выступает экран блокировки: [нет данных]

Требования написаны на сайте вымогателей. Скриншот, состоящий из трёх снимков, прилагается. 


Содержание записки о выкупе:
Ransomnix
Now Pay 1 BTC
OR
Payment will increase by 
0.5 BTC each day after
00:00:00
Your Key Will Be Deleted
Your Bill till now 38.5 BTC
Dear manager, on
Wed Jun 14 2017 05:42:03 GMT+0100 ***))
your database server has been locked, your databases files are encrypted and you have unfortunately "lost" all your data, Encryption was produced using unique public key RSA-2048 generated for this server. 
To decrypt files you need to obtain the private key. 
All encrypted files ends with .Crypt 
Your reference number: 9357 
To obtain the program for this server, which will decrypt all files, you need to pay 1 bitcoin on our bitcoin address 
1pYUK7efvf3PYALJ1dGFq4FZU6FrdQ5E8 (today 1 bitcoin was 2860 $). 
Only we and you know about this bitcoin address. 
You can check bitcoin balance here - 1pYUK7efvf3PYALJ1dGFq4FZU6FrdQ5E8 
After payment send us your number on our mail add1ct@yahoo.com and we will send you decryption tool (you need only run it and all files will be decrypted during 1...3 $ Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your guarantee that we have decryption tool. And send us your number w$ 
We don't know who are you, All what we need is some money. 
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again. 
You can use one of that bitcoin exchangers for transfering bitcoin. 
https://localbitcoins.com
https://www.kraken.com 
You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country. 
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language. 
You don't have enough time to think each day payment will increase by 0.5 BTC and after one week your privite key will be deleted and your files will be locked for ever.
Ransomnix

Перевод записки на русский язык:
Ransomnix
Сейчас платите 1 BTC
ИЛИ
Оплата будет увеличена на
0,5 BTC каждый день после
00:00:00
Ваш ключ будет удален
Ваш биль до сих пор 38.5 BTC
Уважаемый менеджер,
Ср Июн 14 2017 05:42:03 GMT + 0100 ***))
Вашего сервера базы данных заблокированы, ваши файлы баз данных зашифрованы, и вы, к сожалению, "потеряли" все свои данные, шифрование сделано с использованием уникального открытого ключа RSA-2048, созданного для этого сервера.
Чтобы дешифровать файлы, вам необходимо получить закрытый ключ.
Все зашифрованные файлы заканчиваются на .Crypt
Ваш ссылочный номер: 9357
Чтобы получить программу для этого сервера, которая расшифрует все файлы, вам нужно заплатить 1 биткоин на наш биткоин-адрес
1pYUK7efvf3PYALJ1dGFq4FZU6FrdQ5E8 (сегодня 1 биткоин был 2860 $).
Только мы и вы знаете об этом биткоин-адресе.
Вы можете проверить баланс биткоинов здесь - 1pYUK7efvf3PYALJ1dGFq4FZU6FrdQ5E8
После оплаты отправьте нам свой номер на нашу почту add1ct@yahoo.com, и мы вышлем вам инструмент дешифрования (вам нужно только запустить его, и все файлы будут дешифрованы в течение 1 ... 3 $. Перед оплатой вы можете отправить нам один небольшой файл (100..500 килобайт), и мы расшифруем его - это ваша гарантия, что у нас есть инструмент дешифрования. И отправьте нам свой номер w$
Мы не знаем, кто ты. Все, что нам нужно, это деньги.
Не паникуйте, если мы не ответим вам в течение 24 часов. Это означает, что мы не получили ваше письмо и не напишем нам еще раз.
Вы можете использовать один из этих биткоин-обменников для переноса биткоина.
xxxxs://localbitcoins.com
xxxxs://www.kraken.com
Вам не нужно устанавливать программы биткоинов - вам нужно использовать только один из этих обменников или другой обменник, который вы можете найти на www.google.com для своей страны.
Пожалуйста, используйте английский язык в своих письмах. Если вы не говорите по-английски, воспользуйтесь https://translate.google.com, чтобы перевести свое письмо на английский язык.
У вас недостаточно времени, чтобы думать, т.к. каждый день платеж будет увеличиваться на 0.5 BTC, и через неделю ваш приватный ключ будет удален, и ваши файлы будут заблокированы навсегда.
Ransomnix


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, текстовые файлы, базы данных, веб-данные, фотографии и пр.

Файлы, связанные с этим Ransomware:
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.


Снимок с оригинального сайта из веб-архива

Сетевые подключения и связи:
xxxx://themerchantadventurer.com - взломанный сайт
xxxx://themerchantadventurer.com/model-policy - взломанный сайт
https://web.archive.org/web/20161017012107/http://themerchantadventurer.com/ - оригинальный сайт в веб-архиве
Email: add1ct@yahoo.com
BTC: 1pYUK7efvf3PYALJ1dGFq4FZU6FrdQ5E8 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 6 апреля 2018:
Самоназвание этого варианта: JIGSAW RANSOMNIX 2018
Они добавили громкое название и картинку от JIGSAW, чтобы напугать пострадавших.
Расширение: .Crypt
Email: crypter@cyberservices.com 
BTC: 1VirusnmipsYSA5jMv8NKstL8FkVjNB9o
Сумма выкупа: 0.2 BTC + увеличение на 0.1 BTC каждый день
Содержание текста со скриншота:
JIGSAW RANSOMNIX 2018
I WANT TO PLAY A GAME!
Now Pay 0.2 BTC
OR
Payment will increase by
0.1 BTC each day after
00:00:00
Your Key Will Be Deleted
Your Bill till now 2.4000000000000004 BTC
Dear manager, on
Fri Apr 06 2018 02:08:34 GMT+0100 (GMT Summer Time)
your database server has been locked, your databases files are encrypted
and you have unfortunately "lost" all your data, Encryption was produced using
unique public key RSA-2048 generated for this server.
To decrypt files you need to obtain the private key.
All encrypted files ends with .Crypt
Your reference number: 4027
To obtain the program for this server, which will decrypt all files,
you need to pay 0.2 bitcoin on our bitcoin address 1VirusnmipsYSA5jMv8NKstL8FkVjNB9o (today 1 bitcoin was around 15000 $).
After payment send us your number on our mail crypter@cyberservices.com and we will send you decryption tool (you need only run it and all files will be decrypted during a few hours depending on your content size).
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it!
It's your guarantee that we have decryption tool. (use your reference number as a subject to your message)
We don't know who are you, All what we need is some money.
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again.
You can use one of that bitcoin exchangers for transfering bitcoin.
https://localbitcoins.com
https://www.kraken.com
You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country.
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.
You do not have enough time to think each day payment will increase by
0.1 BTC and after one week your privite key will be deleted and your files will be locked for ever.
People use cryptocurrency for bad choices,
 but today you will have to use it to pay for your files!
 It's your choice!
-
Ошибка в тексте записки - 15000 $ - относится к 2017 году.



Обновление от 17 октября 2018:
Ransomnix-Charm
Пост в Твиттере >>
Расширение: .charm 
Записка: HOW_TO_RETURN_FILES.txt
Email: fmhir@protonmail.com
➤ Содержание записки: 
Dear manager,
your database server has been locked, your databases files are encrypted and you have unfortunately "lost" all your data, Encryption was produced using unique key AES-256 generated for this server.
To decrypt files you need to obtain the decryption key and tool.
All encrypted files ends with .charm
To obtain the program for this server, which will decrypt all files, you need to write me to email: "fmhir@protonmail.com"
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your guarantee that we have decryption tool. And send us your userkey
We don't know who are you, All what we need is some money.
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again.
You can use one of that bitcoin exchangers for transfering bitcoin:
https://localbitcoins.com
https://www.kraken.com
You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country.
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.
You don't have enough time to think each day payment will increase and after one week your key will be deleted and your files will be locked forever.
USERKEY:[redacted 0x100 bytes in base64]

Обновление от 20 октября 2018:
Ransomnix-Charm
Расширение: .charm 
Записка: HOW_TO_RETURN_FILES.txt
Email: mdk4y@protonmail.com
 Содержание записки: 
Dear manager,
your database server has been locked, your databases files are encrypted and you have unfortunately "lost" all your data, Encryption was produced using unique key AES-256 generated for this server.
To decrypt files you need to obtain the decryption key and tool.
All encrypted files ends with .charm
To obtain the program for this server, which will decrypt all files, you need to write me to email: "mdk4y@protonmail.com"
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your guarantee that we have decryption tool. And send us your userkey
We don't know who are you, All what we need is some money.
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again.
You can use one of that bitcoin exchangers for transfering bitcoin:
https://localbitcoins.com
https://www.kraken.com
You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country.
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.
You don't have enough time to think each day payment will increase and after one week your key will be deleted and your files will be locked forever.
USERKEY:[redacted 0x100 bytes in base64]
Результаты анализов: VT + VMRay


Обновление от 23 декабря 2018: 
Топик на форуме >>
Расширение: .crypt
Email: add1ct@yahoo.com
BTC: 1VirusnmipsYSA5jMv8NKstL8FkVjNB9o
➤ Содержание записки: 
============================================================================
Dear manager, your server database has been locked, your databases and files are encrypted
and you have unfortunately "lost" all your data!
Encryption was produced using unique public key RSA-2048 generated for this server. 
To decrypt files you need to obtain the private key.
All encrypted files ends with .Crypt
Your reference number: XXXXXX
To obtain the program for this server, which will decrypt all files, you need to pay 1 bitcoin on our bitcoin address 1VirusnmipsYSA5jMv8NKstL8FkVjNB9o.
Only we and you know about this bitcoin address.
You can check bitcoin balance here -  https://www.blockchain.info/address/1VirusnmipsYSA5jMv8NKstL8FkVjNB9o
After payment send us your number on our mail add1ct@yahoo.com and we will send you decryption tool
(you need only run it and all files will be decrypted during 1...3 hours)
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it,
It is your guarantee that we have decryption tool. And send us your number with attached file.
We dont know who are you, All what we need is some money.
You can use one of that bitcoin exchangers for transfering bitcoin.
https://localbitcoins.com/
https://www.kraken.com/
You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger 
that you can find in www.google.com for your country.
Please use english language in your letters. If you dont speak english then use https://translate.google.com
to translate your letter on english language.
Your private key and the decryption tool linked to your reference number XXXXXX.
Note: your bill to decrypt your files will increase dailly by 0.1

================================================================

Обновление от 12 января 2019:
Расширение: .mdk4y
Записка: HOW_TO_RETURN_FILES.txt 
Email: mdk4y@protonmail.com
Содержание записки аналогично предыдущей от 20 октября. Даже расширение в тексте не поменяли. 
➤ Содержание записки: 
  Dear manager, 
your database server has been locked, your databases files are encrypted and you have unfortunately "lost" all your data, Encryption was produced using unique key AES-256 generated for this server.
To decrypt files you need to obtain the decryption key and tool. 
All encrypted files ends with .charm 
To obtain the program for this server, which will decrypt all files, you need to write me to email: "mdk4y@protonmail.com
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your guarantee that we have decryption tool. And send us your userkey 
We don't know who are you, All what we need is some money. 
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again. 
You can use one of that bitcoin exchangers for transfering bitcoin: 
https://localbitcoins.com
https://www.kraken.com 
You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country. 
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language. 
You don't have enough time to think each day payment will increase and after one week your key will be deleted and your files will be locked forever.
USERKEY: 
D4gn9BBYcRhY*****
Результаты анализов: VT + VMRay


Обновление от 19 июня 2019:
Пост в Твиттере >>
Расширение: .dmo
Записка: HOW_TO_RETURN_FILES.txt
Email: dmo9o4zB@protonmail.com
Результаты анализов: VT + HA + VMR
➤ Содержание записки: 
Dear manager, 
your database server has been locked, your databases files are encrypted and you have unfortunately "lost" all your data, Encryption was produced using unique key AES-256 generated for this server.
To decrypt files you need to obtain the decryption key and tool. 
All encrypted files ends with .dmo 
To obtain the program for this server, which will decrypt all files, you need to write me to email: "dmo9o4zB@protonmail.com
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your guarantee that we have decryption tool. And send us your userkey 
We don't know who are you, All what we need is some money. 
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again. 
You can use one of that bitcoin exchangers for transfering bitcoin: 
https://localbitcoins.com
https://www.kraken.com 
You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country. 
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language. 
You don't have enough time to think each day payment will increase and after one week your key will be deleted and your files will be locked forever.
USERKEY: 
IIYisvQGH+tB31LA8KkkYYi85hQ85Xylzj9p9SQwMLHn6OfC7GuXoAKBmVzdpQMj/8RMp6f+j/0s***


Вариант от 14 января 2021: 
Расширение: .ecnrypted
Записка: HOW_TO_RETURN_FILES.txt
Email: 7vTc3j1W4j@protonmail.com
➤ Содержание записки: 
Dear manager, 
your database server has been locked, your databases files are encrypted and you have unfortunately "lost" all your data, Encryption was produced using unique key AES-256 generated for this server.
To decrypt files you need to obtain the decryption key and tool. 
All encrypted files ends with .charm 
To obtain the program for this server, which will decrypt all files, you need to write me to email: "7vTc3j1W4j@protonmail.com
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your guarantee that we have decryption tool. And send us your userkey 
We don't know who are you, All what we need is some money. 
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again. 
You can use one of that bitcoin exchangers for transfering bitcoin: 
https://localbitcoins.com
https://www.kraken.com 
You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country. 
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language. 
You don't have enough time to think each day payment will increase and after one week your key will be deleted and your files will be locked forever.
USERKEY: 
CiyNlyHRHeQbnDRroMKY


Вариант от 27 января 2021: 
Расширение: .encrypt
Записка: README.txt
Email: 7vTc3j1W4j@protonmail.com
➤ Содержание записки: 
Hello.
If you want back your files write to: 7vTc3j1W4j@protonmail.com
Your ID: HDB4gYVr7vGTQ864+BH***



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Amigo-A (Andrew Ivanov)
 Bart, GrujaRS, Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 24 августа 2017 г.

Defray, Glushkov

Defray Ransomware

Glushkov Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 5000$, чтобы вернуть файлы. Оригинальное название: не указано. Написан на C ++. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Defray (Glushkov) > Defray 2018

Этимология названия:
1. Название Defray было дано исследователями из Proofpoint, оно основано на имени C&C-сервера в первой наблюдаемой атаке: "defrayable-listings".
Кроме того, англ. слово "defray" означает "выплата, покрытие издержек" (предоставление денег для оплаты затрат или расходов), а это вредоносное ПО требует, чтобы была выплачена большая сумма $5000 в BTC в обмен за дешифровку файлов.
2. Название Glushkov более конкретно указывает на вымогателей, т.к. по международной традиции при отсутствии оригинального названия в требованиях выкупа, в названии файла или в маркере, берется название из email вымогателей. 

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Пока был замечен в нескольких таргетированных атаках на объекты в Великобритании и США (организации в сфере здравоохранения и образования, а также промышленные объекты и другие типы организаций). 

Записки с требованием выкупа называются: FILES.TXT и HELP.txt

Содержание записки о выкупе:
Don't panic, read this and contact someone from IT department.
Your computer has been infected with a virus known as ransomware.
All files including your personal or business documents, backups and projects are encrypted.
Encryption is very sophisticated and without paying a ransom you won't get your files back.
You could be advised not to pay, but you should anyway get in touch with us.
Ransom value for your files is 5000$ to be paid in digital currency called Bitcoin.
If you have questions, write us.
If you have doubts, write us.
If you want to negotiate, write us.
If you want to make sure we can get your files back, write us.
glushkov@protonmail.ch
glushkov®tutanota.de
igor.glushkov.83@mail.ru
In case we don't respond to an email within one day, download application called BitMessage and reach to us for the fastest response.
BitMessage BM-2cVPRqFb5ZRaMuYdryqxsMNxFMudibvnY6
###
To someone from IT department
This is custom developed ransomware, decrypter won't be made by an antivirus company. This one doesn't even have a name. It uses AES-256 for encrypting files, RSA-2048 for storing encrypted AES-256 password and SHA-2 for keeping the encrypted file integrity. It's written in C++ and have passed many quality assurance tests. To prevent this next time use offline backups.
###

Перевод записки на русский язык:
Не паникуйте, прочитайте это и свяжитесь с кем-то из отдела ИТ.
Ваш компьютер заражен вирусом, известным как ransomware.
Все файлы, включая личные или бизнес-документы, резервные копии и проекты, зашифрованы.
Шифрование очень сложное, и, не выплачивая выкуп, вы не сможете вернуть свои файлы.
Вам могут посоветовать не платить, но вам все равно нужно связаться с нами.
Стоимость выкупа для ваших файлов - 5000$, которые нужно выплатить в цифровой валюте Биткоин.
Если у вас есть вопросы, напишите нам.
Если у вас есть сомнения, напишите нам.
Если вы хотите договориться, напишите нам.
Если вы хотите, чтобы мы могли вернуть ваши файлы, напишите нам.
glushkov@protonmail.ch
glushkov®tutanota.de
igor.glushkov.83@mail.ru
Если мы не ответим на email в течение одного дня, загрузите приложение под названием BitMessage и свяжитесь с нами для быстрого ответа.
###
Кому-то из отдела ИТ
Это обычная ransomware-разработка, декриптер не создаются антивирусной компанией. У этого нет даже имени. Он использует AES-256 для шифрования файлов RSA-2048 для хранения зашифрованного пароля AES-256 и SHA-2 для обеспечения целостности зашифрованного файла. Он написан на C++ и прошел множество проверок качества. В следующий раз не используйте оффлайн-бэкапы.
###


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Документ patient_report.doc из email, полученный больницей в Великобритании

В ходе этой вредоносной кампании, нацеленной на эту больницу, письмо якобы было от руководства ИТ-отдела, а сам Ransomware был в зараженном Word-файле, якобы содержащем отчеты о пациентах (логотип больницы скрыт в правом верхнем углу документа).

Список файловых расширений, подвергающихся шифрованию:
.001, .3ds, .7zip, .MDF, .NRG, .PBF, .SQLITE, .SQLITE2, .SQLITE3, .SQLITEDB, .SVG, .UIF, .WMF, .abr, .accdb, .afi, .arw, .asm, .bkf, .c4d, .cab, .cbm, .cbu, .class, .cls, .cpp, .cr2, .crw, .csh, .csv, .dat, .dbx, .dcr, .dgn, .djvu, .dng, .doc, .docm, .docx, .dwfx, .dwg, .dxf, .exe, .fla, .fpx, .gdb, .gho, .ghs, .hdd, .html, .iso, .iv2i, .java, .key, .lcf, .lnk, .matlab, .max, .mdb, .mdi, .mrbak, .mrimg, .mrw, .nef, .odg, .ofx, .orf, .ova, .ovf, .pbd, .pcd, .pdf, .php, .pps, .ppsx, .ppt, .pptx, .pqi, .prn, .psb, .psd, .pst, .ptx, .pvm, .pzl, .qfx, .qif, .r00, .raf, .rar, .raw, .reg, .rw2, .s3db, .skp, .spf, .spi, .sql, .sqlite-journal, .stl, .sup, .swift, .tib, .txf, .u3d, .v2i, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vsdx, .wallet, .win, .xls, .xlsm, .xlsx, .zip (121 расширение). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FILES.TXT - записка с требования выкупа для всех папок
HELP.txt - дубликат файла FILES.TXT для размещения на рабочем столе
<random>.exe
patient_report.doc - вложение в email

Расположения:
<all folders>\FILES.txt
\Desktop\HELP.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: ***kinaesthetic-electr.000webhostapp.com - C2
***defrayable-listings.000webhostapp.com  - C2
***145.14.145.115 - IP
Email: glushkov@protonmail.ch
glushkov®tutanota.de
igor.glushkov.83@mail.ru
BitMessage: BM-2cVPRqFb5ZRaMuYdryqxsMNxFMudibvnY6
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Defray)
 Write-up, Topic of Support
 * 
 Thanks: 
 Proofpoint
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Wooly, WoolyBear

Wooly Ransomware

WoolyBear Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Ransom.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .wooly

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: [нет данных]
Запиской с требованием выкупа выступает экран блокировки:
[нет данных]

Содержание записки о выкупе:
[нет данных]

Перевод записки на русский язык:
[нет данных]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransom.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  VT>>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Wooly)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 23 августа 2017 г.

CryptoMix-Empty

Empty Ransomware

CryptoMix-Empty Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: RacePostings.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> Error ⇔ Empty 

Фактически дублирует все функции и повторяет деструктивные действия, которые производит его "брат" CryptoMix-Error Ransomware
К зашифрованным файлам добавляется расширение .EMPTY

Примеры зашифрованных файлов: 
0D0A516824060636C21EC8BC280FEA12.EMPTY
1DED47D13075350AE5B729AB3461182E.EMPTY
2C3B20E01EEB9BA0718871A922D378C4.EMPTY

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
empty01@techmail.info
empty02@yahooweb.co
empty003@protonmail.com
We will help You as soon as possible!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Привет!
Все Ваши данные зашифрованы!
Для подробной информации отправьте нам email с Вашим ID номером
empty01@techmail.info
empty02@yahooweb.co
empty003@protonmail.com
Мы поможем Вам как можно скорее!
DECRYPT-ID-[id] number



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Выполняет деструктивные команды:
cmd.exe /C sc stop VVS
cmd.exe /C sc stop wscsvc
cmd.exe /C sc stop WinDefend
cmd.exe /C sc stop wuauserv
cmd.exe /C sc stop BITS
cmd.exe /C sc stop ERSvc
cmd.exe /C sc stop WerSvc
cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
empty01@techmail.info
empty02@yahooweb.co
empty003@protonmail.com 
См. ниже результаты анализов.

Связанные публичные ключи:
См. статью на сайте BC. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018
Backup - май 2018
SYS - июнь-август, декабрь 2018
DAT (WINDAT) - январь 2019
DLL - апрель 2019





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 *

© Amigo-A (Andrew Ivanov): All blog articles.

VideoBelle

VideoBelle Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 150 £ в BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> VideoBelle

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на французских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Message_Important.txt

Содержание записки о выкупе:
instruction à faire pour recuperer la clé de décryptage de vos fichiers crypter
email de contact : fbi-cybercrimedivision@hotmail.com
1) acheter des bitcoins de 150 £, euros à n'importe quelle site de bitcoins.
2) vous pouvez acheter rapidement les bitcoins ici https://localbitcoins.com
3) envoyer les bitcoins à cette adresse : 1NaJysikmSa96GfBdAJxLfi4iNMoZiczbi
4) dès que je reçois les bitcoins je vous envoie la clé de décryptage par email,
divers information bitcoin xxxxs://achterbtcoin.info

Перевод записки на русский язык:
Инструкция по извлечению ключа для дешифровки зашифрованных файлов 
email-адрес для связи: fbi-cybercrimedivision@hotmail.com
1) купи биткоины на сумму 150 фунтов стерлингов, евро на любом сайте биткоинов.
2) ты можешь быстро купить биткоины здесь https://localbitcoins.com
3) отправь биткоины по этому адресу: 1NaJysikmSa96GfBdAJxLfi4iNMoZiczbi
4) когда я получу биткоины, я пошлю тебе ключ дешифрования по email. 
сведения о биткоинах xxxxs://achterbtcoin.info


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Message_Important.txt
video_belle.exe

Расположения:
\Desktop\Message_Important.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fbi-cybercrimedivision@hotmail.com
BTC: 1NaJysikmSa96GfBdAJxLfi4iNMoZiczbi
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FlatChestWare

FlatChestWare Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: FlatChestWare. На файле написано: FlatChestWare.exe. Фальш-копирайт: Microsoft. Среда разработки: Visual Studio 2015.

© Генеалогия: HiddenTear >> FlatChestWare

К зашифрованным файлам добавляется расширение .flat

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Есть ли текстовая записка с требованием выкупа, пока неясно. 

Запиской с требованием выкупа выступает экран блокировки:



Содержание записки о выкупе:
Your personal files have been encrypted, these files being photos, videos, downloads, documents, and many other files. Please do not attempt to remove this program, any attempt to remove it could cause you to be unable to recover your personal files. Only our service can decrypt your files, so disable your anti-virus and make no attempt to tamper with anything we have done.
Oh and dont feel bad for clicking 'Restart Now' we were already encrypting your files as soon as the application launched.
Click the [HELP] button below if you wish to recover your files.
Bitcoin Address:
1PFms6LMmamjPE3VCFB83YFa5TaoDdsjrB

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы, это файлы фото, видео, загрузки, документы и многие другие файлы. Не пытайтесь удалить эту программу, любая попытка ее удаления может привести к невозможности восстановить ваши личные файлы. Только наша служба может расшифровать ваши файлы, поэтому отключите антивирус и не пытайтесь вмешиваться в что-либо, что мы сделали.
О, и не чувствуйте себя плохо, когда вы нажимаете "Restart Now", мы уже зашифровали ваши файлы сразу после запуска приложения.
Нажмите кнопку [HELP] ниже, если вы хотите восстановить файлы.
Биткоин-адрес:
1PFms6LMmamjPE3VCFB83YFa5TaoDdsjrB



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Имитирует обновление Windows. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1PFms6LMmamjPE3VCFB83Yfa5TaoDdsjrB
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

вторник, 22 августа 2017 г.

Xolzsec

Xolzsec Ransomware

(шифровальщик-вымогатель, Trollware)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем насмехается и даже не предлагает вернуть файлы. Оригинальное название: Xolzsec. Разработчик: Xolzsec - XgroupVN. На файле написано: eda2.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: EDA2 >> Xolzsec 

К зашифрованным файлам добавляется расширение .xolzsec

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает следующий экран:

Содержание текста с экрана:
I Don't Know man, but you are idiots LOL
.::Author: Xolzsec - XgroupVN::.
Hi I'm Script Kiddie haha XD

Перевод текста на русский язык:
Я не знаю человека, но ты идиоты LOL
. :: Автор: Xolzsec - XgroupVN ::.
Привет, я Script Kiddie ха-ха XD



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
eda2.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *