Если вы не видите здесь изображений, то используйте VPN.

понедельник, 25 сентября 2017 г.

Onion3Cry

Onion3Cry Ransomware
Onion3Crypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп за декриптер, чтобы вернуть файлы. Оригинальное название точно не указано. В заголовке экрана блокировки написано: onion3 crypt v.3.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Onion3Cry

К зашифрованным файлам добавляется расширение .onion3cry-open-DECRYPTMYFILES

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED
Our credibility at stake
To decrypt your files you need to buy the special software - «Black decryptor»
You can find out the details / buy decryptor + key / ask questions by email: onion33544@india.com
How to use bitcoin xxxxs://www.youtube.com/watch?v=Xz3UaCk577l
Unable to decode data without correct decoder ID - 388854
To recover yor data.
[contact in up
12:00:00]

Перевод записки на русский язык:
ВСЕ ВАША РАБОТА И ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Ставка на наше доверие
Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - «Black decryptor»
Вы можете узнать подробности / купить дешифратор + ключ / задавать вопросы по email: onion33544@india.com
Как использовать биткоин xxxxs://www.youtube.com/watch?v=Xz3UaCk577l
Невозможно декодировать данные без правильного ID декодера - 388854
Чтобы восстановить ваши данные.
[контакт в
12:00:00]
Ещё один экран имитируют загрузку обновлений. На португальском. 

Содержание текста на экране:
Obtendo atualizações
isso pode levar alguns minutos
Verificando se há atualizações.......
[Avançar]

Перевод на русский:
Получение обновлений
Это может занять несколько минут.
Проверка обновлений ...
[Далее]




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
<Black decryptor>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
onion33544@india.com
xxxxs://www.youtube.com/watch?v=Xz3UaCk577l
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ (original package) >>
VirusTotal анализ (encrypter) >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 24 сентября 2017 г.

CryptoClone

CryptoClone Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: cryptoclone. На файле написано: cryptoclone.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stupid >> CryptoClone

К зашифрованным файлам добавляется расширение .crypted

Образец этого крипто-вымогателя обнаружен на второй половине сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Использует графические изображения из ранее известных крипто-вымогателей. 

Запиской с требованием выкупа выступает экран блокировки:


Содержание текста о выкупе:
!Your Personal Files Are Encrypted
Private key will be destroyed on 10/13/2013 1:21 PM
Time left
71: 33 : 17
loading files and calling server
AES_256 bit encryption
ing this will result in loss files

Перевод текста на русский язык:
Ваши личные файлы зашифрованы
Закрытый ключ уничтожится 13.10.2013 13:21
Осталось времени
71: 33: 17
загрузка файлов и вызов сервера
Шифрование AES-256 бит
это приведет к потере файлов

Это выглядит знакомо, видимо и здесь использовался тот же "корявый" крипто-строитель. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
cryptoclone.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 февраля 2018:
Пост в Твиттере >>
Файл: cryptoclone.exe
Основано на Stupid Ransomware.
Результаты анализов: VT
<< Новый скриншот 









=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 23 сентября 2017 г.

RedBoot

RedBoot Ransomware

(шифровальщик-вымогатель, MBR-модификатор)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует связаться оп email, чтобы уплатить выкуп за разблокировку компьютера. Оригинальное название: RedBoot. На файле может быть написано, что угодно. Написан на AutoIT. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на вторую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

После запуска UAC не обходит, требует разрешение этой защиты. Если UAC отключена, то шифрует файлы и перезагружает систему. После чего модифицирует MBR и таблицу разделов, потом выводит перед жертвой следующее сообщение на красном фоне:

Содержание текста с экрана:
This computer and all of it's files have been locked! Send an email to redboot@memeware.net containing your ID key for instructions on how to unlock them. Your ID key is D12066304A455351F1C9C703432319BEA7061624_

Перевод на русский язык:
Этот компьютер и все его файлы блокированы! Отправьте email на адрес redboot@memeware.net, включив ваш ID ключ, для инструкций по разблокировке. Ваш ID ключ D12066304A455351F1C9C703432319BEA7061624_



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После выполнения RedBoot извлекает 5 других файлов в случайную папку в каталоге, из которого был запущен: boot.asm, assembler.exe, main.exe, overwrite.exe и protect.exe. Файл boot.asm, кроме того, будет компилирован в boot.bin. После завершения компиляции файла boot.bin файлы boot.asm и assembly.exe удаляются.

Подробнее о каждом из этих файлов: 
assembler.exe - разноимённая копия nasm.exe, которая используется для компиляции файла сборки boot.asm в файл boot.bin главной загрузочной записи (MBR). 
boot.asm - файл сборки, который будет скомпилирован в новую главную загрузочную запись.
boot.bin - файл новой главной загрузочной записи, полученный в результате компиляции boot.asm
overwrite.exe - программа, которая используется для перезаписи существующей главной загрузочной записи в новую.
main.exe - это шифратор для пользовательского режима, который шифрует файлы на компьютере.
protect.exe - исполняемый файл, завершающий работу и предотвращающий запуск различных программ, включая диспетчер задач и processhacker.

Изменив таблицу разделов RedBoot не сможет её восстановить даже после уплаты выкупа, потому жёсткий диск вымогателями не будет восстановлен. 

Внимание! В большинстве возможных случаев MBR и таблицу разделов можно восстановить специализированными программами для восстановления, в том числе и бесплатными. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
extract: boot.asm, assembler.exe, main.exe, overwrite.exe, protect.exe
boot.asm > boot.bin

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: redboot@memeware.net
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ (main.exe) >>
VirusTotal анализ (nasm.exe) >>
VirusTotal анализ (overwrite.exe) >>
VirusTotal анализ (protect.exe) >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RedBoot)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 22 сентября 2017 г.

BTCWare-Wyvern

BTCWare-Wyvern Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле может быть написано, что угодно.
This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare >> BTCWare-Wyvern

К зашифрованным файлам добавляется составное расширение по шаблону .[email]-id-<id>.wyvern

Примеры зашифрованных файлов: 
file1.jpg.[decryptorx@cock.li]-id-89085061.wyvern
file2.doc.[decryptorx@cock.li]-id-89085061.wyvern
file3.png.[decryptorx@cock.li]-id-89085061.wyvern


Примеры зашифрованных файлов

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP.hta
Скриншоты записки о выкупе

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail decryptorx@cock.li
You have to pay for decryption in Bitcons. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total see of files must be less than 1Mb (non archved), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
How to obtain Bitcolns
The easiest way to buy bitcoins is localBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
xxxxs://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners gude here:
xxxx://coindesk.com/information/how-can+buy-bitcoins/
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на e-mail decryptorx@cock.li
Вы должны заплатить за дешифрование в битконах. Цена зависит от того, как быстро вы пишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования. Общее количество файлов должно быть меньше 1 Мб (не архив), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить Bitcoins
Самый простой способ купить биткойны - сайт localBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
xxxxs://localbitcoins.com/buy_bitcoins
Также можно найти другие места для покупки биткойнов и руководство для новичков:
xxxx://coindesk.com/information/how-can+buy-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, , а затем перезагружает компьютер, используя команды:
cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /c bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
shutdown.exe -r -t 0

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP.hta
<random>.exe
много дроппированных файлов

Расположения:
\%APPDATA%\HELP.hta
\%APPDATA%\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
decryptorx@cock.li
fuck4u@cock.li
См. ниже результаты анализов.


Связанный открытый ключ Wyvern RSA:
Открыть:
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCitOoG+zT+UHs8xu7rCRSzj1XFlhatpoG4/dqLm45JWUMo1Usokd2KAOvZQQWIi6AtAqe2XwG3zsu3Mt97LzU/9t5lf30RuNP3y422gX6XvBATeDSyZObsjcx0TeV+r4WR563EsQp19YMAbr9hOfjwJwfzhZJ4ODbRcHBQyWab+wIDAQAB
-----END PUBLIC KEY-----

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 27 сентября 2017:
Расширение: .[fuck4u@cock.li]-id-<id>.wyvern
Email: fuck4u@cock.li
Результаты анализов: VT


Обновление от 27 октября 2017:
Email: irmagetstein@india.com
Пример: .[irmagetstein@india.com]-id-3540E23D.wyvern
Содержание записки:
your data have been encrypted 
if you want restore files 
write me  irmagetstein@india.com





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile
Можно также обратиться по этой ссылке >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under BTCWare Gryphon)
 Write-up, Topic of Support
 * 
 Thanks: 
  Lawrence Abrams
  Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

CyberSoldier

CyberSoldier Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CyberSoldier и Ransomware. На файле написано: Ransomware.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам должно добавляться расширение .CyberSoldiersST
Но пока файлы не шифруются, а только переименовываются. 

Активность этого крипто-вымогателя пришлась на вторую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Видимо пока находится в разработке, т.к. файлы не шифруются из-за сбоев в работе. 

Запиской с требованием выкупа выступает изображение на экране:

Содержание записки о выкупе:
Your files have been EnCrypted!
35994 Seconds
[Decrypt]

Перевод записки на русский язык:
Ваши файлы зашифрованы!
35994 секунд
[Дешифровать]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 21 сентября 2017 г.

CyberDrill2

CyberDrill2 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные серверов и сайтов с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CyberDrill2 и Cyberdrill_2 Ransomware. На файле написано: Cyberdrill_2.exe. Среда разработки: Visual Studio 2013. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> CyberDrill2

К зашифрованным файлам добавляется расширение .cyberdrill


Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на арабскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.



Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Files has been encrypted with Cyberdrill_2 Ransomware, and many Users will not be able to access sites host ... This is not a joke, Check ours sites now. Sites will be DDoS-ed starting in 24 hours if you don't pay only 30 Bitcoins @ 1zYMSrKHtF11CAd5eHpgmdPaz8723NvLG63. If you don't pay in next 24 hours, attack will start, your service going down permanently. Price to stop will increase to 1 BTC and will go up 1 BTC for every day of attack. Our attacks are extrensely powerful. No cheap protection will help. Bitcoin is anonymous, nobody will ever know you cooperated.

Перевод записки на русский язык:
Файлы были зашифрованы с помощью Cyberdrill_2 Ransomware, и многие пользователи не смогут получить доступ к сайтам ... Это не шутка, проверьте свои сайты сейчас. Сайты будут DDoS-ены, начиная с 24 часов, если вы не платите лишь 30 биткоинов на  1zYMSrKHtF11CAd5eHpgmdPaz8723NvLG63. Если вы не заплатите в течение следующих 24 часов, начнется атака, и ваша служба будет работать постоянно. Цена на остановку увеличится до 1 BTC и повысится на 1 BTC за каждый день атаки. Наши атаки являются чрезвычайно мощными. Никакая дешевая защита не поможет. Биткоин анонимен, никто никогда не узнает, что вы сотрудничали.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Cyberdrill_2.exe
READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1zYMSrKHtF11CAd5eHpgmdPaz8723NvLG63
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Technicy

Technicy Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: technicy. На файле написано: technicy. Разработчик: Technicy Hardware'a (Польша). 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Technicy

К зашифрованным файлам добавляется расширение .technicy

Активность этого крипто-вымогателя пришлась на вторую половину сентября 2017 г. Ориентирован на польскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение на экране:

Текст на изображении:
TECHNICY HARDWAREA POZDRAWIAJA

Перевод  на русский язык:
Технические специалисты приветствуют

Точнее надпись должна быть (в конце специальная польская буква "ą"):
Technicy hardwarea pozdrawiają

Возможно, что этот RW пока находится в разработке, или же исследователи поленились предоставить более подробную информацию.



Технические детали

Способ распространения не указан. Но вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *