Если вы не видите здесь изображений, то используйте VPN.

суббота, 14 октября 2017 г.

Magniber

Magniber Ransomware

My Decryptor Ransomware

New attacks: Magniber 2022, 2023, 2024 Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 (CBC-режим), а затем требует выкуп в 0.200 BTC, чтобы вернуть файлы. Оригинальное название: Magniber. Но на странице Tor-сайта вымогателей указаноMy Decryptor

© Генеалогия: Cerber >> Magniber

Этимология названия: 
От сложения двух слов Magnitude + Cerber. Здесь Magnitude — это набор эксплойтов, последний для Cerber вектор распространения инфекции. С ним вредонос Cerber закончил своё распространение в сентябре 2017 года. 

★ Для справки:
Набор эксплойтов Magnitude или Magnitude EK, имевший ранее глобальный охват, был предложен в качестве службы в кибер-преступном сообществе уже в 2013 году. Затем он покинул рынок и стал частным набором эксплойтов, который в основном распространял крипто-вымогателей, в частности CryptoWall. В начале второй половины 2016 года Magnitude переместил фокус на азиатские страны, поставляя разных крипто-вымогателей, например, Locky и Cerber. Совсем недавно было замечено, что Magnitude претерпел небольшой перерыв, с 23 сентября по 15 октября 2017 года. Теперь новым пейлоадом Magnitude EK стал крипто-вымогатель, получивший название Magniber.

Диаграмма предоставлена TrendMicro

К зашифрованным файлам добавляется расширения по шаблону .<random{5-9}> т.е. с 5-ю, 6-ю, 7-ю, 8-ю, 9-ю знаками.

На момент написания статьи это было только: .kgpvwnr, .ihsdj

В конце статьи в "Блоке обновлений" есть другие расширения, но бессмысленно указывать другие варианты, потому что шаблон выше я указал — <random{5-9}>

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных и южнокорейских пользователей (ID языка 1042), что не мешает распространять его по всему миру. Первыми целями Magniber стали пользователи из Южной Кореи, далее — под прицелом пользователи из других стран. С 2022 года стал Magniber Ransomware более активно распространяться. Нет никакого бесплатного дешифровщика. Даже сайт, предлагаемые вымогателями для связи могут не открываться, потому что они были отключены, заблокированы или не созданы. Пострадавшие не смогут связаться с вымогателями, даже если захотят заплатить выкуп. 


Записки с требованием выкупа называются:
_HOW_TO_DECRYPT_MY_FILES_<random>_.txt - ранний образец
READ_ME_FOR_DECRYPT_<random>_.txt - образец только для Кореи

Это можно записать также как:
_HOW_TO_DECRYPT_MY_FILES_<victim_id>_.txt
READ_ME_FOR_DECRYPT_<victim_id>_.txt

Например,
_HOW_TO_DECRYPT_MY_FILES_27dh6y1kyr49yjhx8i3_.txt
READ_ME_FOR_DECRYPT_3sk982xn01q099a7yee_.txt



Содержание записки о выкупе (HOW_TO_DECRYPT_MY_FILES):
ALL Y0UR D0CUMENTS, PHOTOS, DATABASES AND OTHER IMP0RTANT FILES HAVE BEEN ENCRYPTED!
 ===
 Your files are NOT damaged! Your files are modified only. This modification is reversible.
 The only 1 way to decrypt your files is to receive the private key and decryption program.
 Any attempts to restore your files with the third-party software will be fatal for your files!
 ===
 To receive the private key and decryption program follow the instructions below:
 1. Download "Tor Browser" from https://www.torproject.org/ and install it.
 2. In the "Tor Browser" open your personal page here:
 xxxx://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/N3ii3Ne9010*****
 Note! This page is available via "Tor Browser" only.
 ===
 Also you can use temporary addresses on your personal page without using "Tor Browser":
 xxxx://27dh6y1kyr49yjhx8i3.sayhere.party/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.goflag.webcam/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.keysmap.trade/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.segon.racing/N3ii3Ne9010*****
 Note! These are temporary addresses! They will be available for a limited amount of time! 

Перевод записки на русский язык:
ВСЕ ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
  ===
  Ваши файлы НЕ повреждены! Ваши файлы только изменены. Эта модификация обратима.
  Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
  Любые попытки восстановить файлы с помощью сторонних программ фатальны для ваших файлов!
  ===
  Чтобы получить секретный ключ и программу дешифрования, выполните следующие инструкции:
  1. Загрузите "Tor-браузер" с xxxxs://www.torproject.org/ и установите его.
  2. В "Tor-браузер" откройте свою личную страницу здесь:
 xxxx://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/N3ii3Ne9010*****
  Заметка! Эта страница доступна только через браузер Tor.
  ===
  Также вы можете использовать временные адреса на своей личной странице, не используя "Tor-браузер":
 xxxx://27dh6y1kyr49yjhx8i3.sayhere.party/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.goflag.webcam/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.keysmap.trade/N3ii3Ne9010*****
 xxxx://27dh6y1kyr49yjhx8i3.segon.racing/N3ii3Ne9010*****
  Заметка! Это временные адреса! Они будут доступны в течение ограниченного времени!

Содержание записки о выкупе (READ_ME_FOR_DECRYPT):
ALL Y0UR DOCUMENTS, PHOTOS, DATABASES AMD OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
===
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third-party software will be fatal for your files!
===
To receive the private key and decryption program follow the instructions below:
1. Download "Tor-браузер" from xxxxs://www.torproject.org/ and install it.
2. In the "Tor Browser" open your personal page here:
xxxx://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/N3ii3Ne9010*****

Перевод записки на русский язык:
ВСЕ ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
===
Ваши файлы НЕ повреждены! Ваши файлы только изменены. Эта модификация обратима.
Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
Любые попытки восстановить файлы с помощью сторонних программ фатальны для ваших файлов!
===
Чтобы получить секретный ключ и программу дешифрования, выполните следующие инструкции:
1. Загрузите "Tor-браузер" с xxxxs://www.torproject.org/ и установите его.
2. В "Tor-браузер" откройте свою личную страницу здесь:
xxxx://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/N3ii3Ne9010*****

Запиской с требованием выкупа выступают также Tor-сайты вымогателей, где расписано всё по пунктам. Есть страница поддержки и страница бесплатной расшифровки 1 файла. 


 1-я страница (3 экрана)

 2-я и 3-я страницы

Содержание текста с Tor-сайтов вымогателей:
Your documents, photos, databases and other important files have been encrypted!
WARNING! Any attempts to restore your files with the third-party software will be fatal for your files! WARNING!
To decrypt your files you need to buy the special software - "My Decryptor"
All transactions should be performed via BITCOIN network.
Within 5 days you can purchase this product at a special price: BTC 0.200 (~ $1105)
After 5 days the price of this product will increase up to: BTC 0.400 (~ $2210)
The special price is available:
03 . 22:12:16
How to get "My Decryptor"?
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins
Here are our recommendations:
Buy Bitcoins with Cash or Cash Deposit
LocalBitcoins (https://localbitcoins.com/)
BitQuick (https://www.bitquick.co/)
Wall of Coins (https://wallofcoins.com/)
LibertyX (https://libertyx.com/)
Coin ATM Radar (https://coinatmradar.com/)
Bitit (https://bitit.io/)
Buy Bitcoins with Bank Account or Bank Transfer
Coinbase (https://www.coinbase.com/)
BitPanda (https://www.bitpanda.com/)
GDAX (https://www.gdax.com/)
CEX.io (https://cex.io/)
Gemini (https://gemini.com/)
Bittylicious (https://bittylicious.com/)
Korbit (https://www.korbit.co.kr/)
Coinfloor (https://www.coinfloor.co.uk/)
Coinfinity (https://coinfinity.co/)
CoinCafe (https://coincafe.com/)
BTCDirect (https://btcdirect.eu/)
Paymium (https://www.paymium.com/)
Bity (https://bity.com/)
Safello (https://safello.com/)
Bitstamp (https://www.bitstamp.net/)
Kraken (https://www.kraken.com/)
CoinCorner (https://www.coincorner.com/)
Cubits (https://cubits.com/)
Bitfinex (https://www.bitfinex.com/)
Xapo (https://xapo.com/)
HappyCoins (https://www.happycoins.com/)
Poloniex (https://poloniex.com/)
Buy Bitcoin with Credit/Debit Card
Coinbase (https://www.coinbase.com/)
CoinMama (https://www.coinmama.com/)
BitPanda (https://www.bitpanda.com/)
CEX.io (https://cex.io/)
Coinhouse (https://www.coinhouse.io/)
Buy Bitcoins with PayPal
VirWoX (https://www.virwox.com/)
Could not find Bitcoins in your region? Try searching here:
BittyBot (https://bittybot.co/eu/)
How To Buy Bitcoins (https://howtobuybitcoins.info/)
Buy Bitcoin Worldwide (https://www.buybitcoinworldwide.com/)
Bitcoin-net.com (http://bitcoin-net.com/)
3. Send BTC 0.200 to the following Bitcoin address:
 18TALbvcZucFZqhui1rowZYiRK5kkwBP1V
4. Control the amount transaction at the "Payments History" panel below
5. Reload current page after the payment and get a link to download the software
 Payments:
 Total received: BTC 0.000
At the moment we have received from you: BTC 0.000 (left to pay BTC 0.200)

Перевод части текста с Tor-сайтов на русский язык:
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы!
ПРЕДУПРЕЖДЕНИЕ! Любые попытки восстановить файлы с помощью стороннего программного обеспечения будут фатальными для ваших файлов! ПРЕДУПРЕЖДЕНИЕ!
Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - «My Decryptor»
Все транзакции должны выполняться через сеть BITCOIN.
В течение 5 дней вы можете приобрести этот продукт по специальной цене: BTC 0.200 (~ $ 1105)
Через 5 дней цена этого продукта будет увеличиваться до: BTC 0.400 (~ $ 2210)
Специальная цена доступна:
03. 22:12:16
Как получить «Мой дешифратор»?
1. Создайте Биткойн-кошелек (мы рекомендуем Blockchain.info)
2. Купите необходимое количество биткойнов
Вот наши рекомендации:
*** пропуск адресов ***
3. Отправьте 0.200 BTC на следующий биткоин-адрес:
  18TALbvcZucFZqhui1rowZYiRK5kkwBP1V
4. Управляйте транзакцией суммы из панели «История платежей» ниже
5. Загрузите текущую страницу после оплаты и получите ссылку для загрузки программы.
  Оплата:
  Всего получено: BTC 0.000
На данный момент мы получили от вас: BTC 0.000 (осталось заплатить BTC 0.200)


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Magnitude - вектор распространения инфекции для Cerber.


Magniber шифрует файлы только на системах, где языком пользователя является корейский язык, с ориентацией на Южную Корею. Ранние образцы не имели жёсткой привязки, чуть позже 

Список файловых расширений, подвергающихся шифрованию:
.123, .1cd, .3dm, .3ds, .3g2, .3gp, .4d, .4db, .4mp, .602, .7z, .a3d, .abm, .abs, .abw, .accdb, .act, .adn, .adp, .aes, .af2, .af3, .aft, .afx, .agif, .agp, .ahd, .ai, .aic, .aim, .albm, .alf, .ans, .apd, .apm, .apng, .aps, .apt, .apx, .arc, .art, .arw, .asc, .ase, .asf, .ask, .asm, .asp, .asw, .asy, .aty, .avi, .awdb, .awp, .awt, .aww, .azz, .backup, .bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bm2, .bmp, .bmx, .bna, .bnd, .boc, .bok, .brd, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .bz2, .c, .c4, .c4d, .ca, .cals, .can, .cd, .cd5, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmz, .cdr, .cdr3, .cdt, .cf, .cfu, .cgm, .cimg, .cin, .cit, .ckp, .class, .clkw, .cma, .cmx, .cnm, .cnv, .colz, .cpc, .cpd, .cpg, .cpp, .cps, .cpx, .cr2, .crd, .crt, .crw, .cs, .csr, .csv, .csy, .ct, .cv5, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .dad, .daf, .db, .db2, .db3, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dc2, .dca, .dcb, .dch, .dcr, .dcs, .dct, .dcx, .dd, .dds, .ded, .der, .df1, .dgn, .dgs, .dgt, .dhs, .dib, .dif, .dip, .diz, .djv, .djvu, .dm3, .dmi, .dmo, .dnc, .dne,.doc, .docb, .docm, .docx, .docz, .dot, .dotm, .dotx, .dp1, .dpp, .dpx, .dqy, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dtsx, .dtw, .dv, .dvi, .dwg, .dx, .dx, .dxb, .dxf, .eco, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .em, .emd, .emf, .emlx, .ep, .epf, .epp, .eps, .epsf, .eq, .erf, .err, .etf, .etx, .euc, .exr, .fa, .faq, .fax, .fb, .fb2, .fbx, .fcd, .fcf, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fft, .fh10, .fh11, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fi, .fic, .fid, .fif, .fig, .fla, .flr, .flv, .fm5, .fmv, .fo, .fodt, .fp3, .fp4, .fp5, .fp7, .fpos, .fpt, .fpx, .frm, .frt, .frx, .ft10, .ft11, .ft7, .ft8, .ft9, .ftn, .fwdn, .fxc, .fxg, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gem, .geo, .gfb, .gfie, .ggr, .gif, .gih, .gim, .gio, .glox, .gpd, .gpg, .gpn, .gro, .grob, .grs, .gsd, .gthr, .gtp, .gv, .gwi, .gz, .h, .hbk, .hdb, .hdp, .hdr, .hht, .his, .hp, .hpg, .hpg, .hpi, .hs, .htc, .hwp, .hz, .i3d, .ib, .ibd, .icn, .icon, .icpr, .idc, .idea, .idx, .igt, .igx, .ihx, .ii, .iiq, .imd, .info, .ink, .ipf, .ipx, .iso, .itc2, .itdb, .itw, .iwi, .j, .j2c, .j2k, .jar, .jas, .java, .jb2, .jbig, .jbmp, .jbr, .jfif, .jia, .jis, .jng, .joe, .jp1, .jp2, .jpe, .jpeg, .jpg, .jpg2, .jps, .jpx, .jrtf, .js, .jsp, .jtf, .jtx, .jw, .jxr, .kdb, .kdbx, .kdc, .kdi, .kdk, .kes, .key, .kic, .klg, .knt, .kon, .kpg, .kwd, .lay, .lay6, .lbm, .lbt, .ldf, .lgc, .lis, .lit, .ljp, .lmk, .lnt, .lp2, .lrc, .lst, .ltr, .ltx, .lue, .luf, .lwo, .lwp, .lws, .lyt, .lyx, .m3d, .m3u, .m4u, .ma, .mac, .man, .map, .maq, .mat, .max, .mb, .mbm, .mbox, .mdb, .mdf, .mdn, .mdt, .me, .mef, .mel, .mft, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .mid, .min, .mkv, .mm, .mmat, .mnr, .mnt, .mos, .mov, .mp3, .mp4, .mpeg, .mpf, .mpg, .mpo, .mrg, .mrxs, .msg, .mt9, .mud, .mwb, .mwp, .mx, .my, .myd, .myi, .ncr, .nct, .ndf, .nef, .nfo, .njx, .nlm, .now, .nrw, .ns2, .ns3, .ns4, .nsf, .nv2, .nyf, .nzb, .obj, .oc3, .oc4, .oc5, .oce, .oci, .ocr, .odb, .odg, .odm, .odo, .odp, .ods, .odt, .of, .oft, .omf, .onetoc2, .oplc, .oqy, .ora, .orf, .ort, .orx, .ost, .ota, .otg, .oti, .otp, .ots, .ott, .ovp, .ovr, .owc, .owg, .oyx, .ozb, .ozj, .ozt, .p, .p12, .p7s, .p96, .p97, .pa, .pan, .pano, .pap, .paq, .pas, .pbm, .pc1, .pc2, .pc3, .pcd, .pcs, .pdb, .pdd, .pdf, .pdm, .pds, .pdt, .pe4, .pef, .pem, .pff, .pfi, .pfs, .pfv, .pfx, .pgf, .pgm, .phm, .php, .pi1, .pi2, .pi3, .pic, .pict, .pix, .pjpg, .pjt, .plt, .pm, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prt, .prw, .ps1, .psd, .psdx, .pse, .psid, .psp, .pst, .psw, .ptg, .pth, .ptx, .pu, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .pz3, .pza, .pzp, .pzs, .qd, .qmg, .qpx, .qry, .qvd, .rad, .rar, .ras, .raw, .rb, .rctd, .rcu, .rd, .rdb, .rft, .rgb, .rgf, .rib, .ric, .riff, .ris, .rix, .rle, .rli, .rng, .rpd, .rpf, .rpt, .rri, .rs, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .rtx, .run, .rw, .rw2, .rzk, .rzn, .s2mv, .s3m, .saf, .sam, .sbf, .scad, .scc, .sch, .sci, .scm, .sct, .scv, .scw, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfw, .sgm, .sh, .sig, .sk1, .sk2, .skm, .sla, .sld, .sldm, .sldx, .slk, .sln, .sls, .smf, .sms, .snt, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sq, .sqb, .sqlite3, .sqlitedb, .sr2, .srw, .ssa, .ssk, .st, .stc, .std, .sti, .stm, .stn, .stp, .str, .stw, .sty, .sub, .suo, .svf, .svg, .svgz, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tab, .tar, .tbk, .tcx, .tdf, .tdt, .te, .tex, .text, .tgz, .thp, .tif, .tiff, .tlb, .tlc, .tm, .tmd, .tmv, .tmx, .tne, .tpc, .trm, .tvj, .u3d, .u3i, .udb, .ufr, .unx, .uof, .uop, .uot, .upd, .usr, .utf8, .utxt, .v12, .vb, .vbr, .vbs, .vcd, .vct, .vdb, .vdi, .vec, .vm, .vmdk, .vmx, .vnt, .vob, .vpd, .vrm, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vstm, .vstx, .vue, .vw, .wallet, .wav, .wb2, .wbk, .wcf, .wdb, .wgz, .wire, .wk1, .wks, .wma, .wmdb, .wmv, .wn, .wp, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpd, .wpg, .wps, .wpt, .wpw, .wri, .wsc, .wsd, .wsh, .wtx, .x, .x3d, .xar, .xd, .xdb, .xlc, .xld, .xlf, .xlgc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xps, .xwp, .xy3, .xyp, .xyw, .ya, .ybk, .ym, .z3d, .zabw, .zdb, .zdc, .zip, .zw (859 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Magniber пропускает файлы, путь которых содержит следующие строки:
:\$recycle.bin\
:\$windows.~bt\
:\boot\
:\documents and settings\all users\
:\documents and settings\default user\
:\documents and settings\localservice\
:\documents and settings\networkservice\
:\program files\
:\program files (x86)\
:\programdata\
:\recovery\
:\recycler\
:\users\all users\
:\windows\
:\windows.old\
\appdata\local\
\appdata\locallow\
\appdata\roaming\adobe\flash player\
\appData\roaming\apple computer\safari\
\appdata\roaming\ati\
\appdata\roaming\intel\
\appdata\roaming\intel corporation\
\appdata\roaming\google\
\appdata\roaming\macromedia\flash player\
\appdata\roaming\mozilla\
\appdata\roaming\nvidia\
\appdata\roaming\opera\
\appdata\roaming\opera software\
\appdata\roaming\microsoft\internet explorer\
\appdata\roaming\microsoft\windows\
\application data\microsoft\
\local settings\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\

Файлы, связанные с этим Ransomware:
_HOW_TO_DECRYPT_MY_FILES_<random>_.txt
READ_ME_FOR_DECRYPT_<random>_.txt
Magniber.exe
<random>.exe
<extension>.exe

Расположения:
%Temp%\<random>.exe
%Temp%\kgpvwnr.exe
%Temp%\ihsdj.exe
%Temp%\<extension>.exe
%Temp%\<victim_id>.<extension>

Примечание об идентификаторе жертв


Интересное наблюдение, сделанное Майклом Джиллеспи. 

Реконструкция скриншотов и описание автора этого блога. 

Пояснение информации со скриншота
Уникальной особенностью Magniber является то, как пользователь входит на TOR-сайт оплаты выкупа. Обычно другими Ransomware создаётся уникальный идентификатор (ID) для жертвы, когда Ransomware сделает своё дело. Этот ID жертвы затем добавляется в записку о выкупе и жертва должна использовать его для входа на TOR-сайта оплаты выкупа. 
Magniber же действует иначе. Он используют ID в качестве поддомена на TOR-сайте. Например, в скриншоте записки о выкупе есть ссылка xxxx://3sk982xn91q999a7yee.yhicav6vkj427eox.onion на TOR-сайт оплаты выкупа. В этом URL-адресе поддомен 3sk982xn91q999a7yee является ID жертвы. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://27dh6y1kyr49yjhx8i3.yhicav6vkj427eox.onion/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.sayhere.party/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.goflag.webcam/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.keysmap.trade/N3ii3Ne9010*****
xxxx://27dh6y1kyr49yjhx8i3.segon.racing/N3ii3Ne9010*****
xxxx://3sk982xn91q999a7yee.yhicav6vkj427eox.onion/***
185.99.2.183 - IP
xxxx://[victim_id].ofotqrmsrdc6c3rz.onion***
xxxx://ava10ib3t21s1xfc4p6.bankme.date/
xxxx://psuutsnokbe6k8ody24.bankme.date - C2
xxxx://[victim_id].bankme.date - C2
xxxx://[victim_id].jobsnot.services - C2
xxxx://[victim_id].carefit.agency - C2
xxxx://[victim_id].hotdisk.world - C2
BTC: 18TALbvcZucFZqhui1rowZYiRK5kkwBP1V
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ на образец с .kgpvwnr (ранний)>>
VirusTotal анализ на образец с .kgpvwnr (ранний) >>
Гибридный анализ на другой образец >>
VirusTotal анализ другой образец >>
Другой анализ >>

Степень распространённости: высокая.
Сведения публикуются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 20 октября 2017: 


Пост в Твиттере >>
Расширения: .fprgbk и .vbdrj
Записка: READ_ME_FOR_DECRYPT.txt
Tor: xxxx://00ld545z6vv4i70qc7x.i4f6jinsfxuzpizs.onion/MRt1Z80Wrk3S96yl
xxxx://00ld545z6vv4i70qc7x.winehis.online/MRt1Z80Wrk3S96yl
xxxx://00ld545z6vv4i70qc7x.whyfits.agency/MRt1Z80Wrk3S96yl
xxxx://00ld545z6vv4i70qc7x.onesask.services/MRt1Z80Wrk3S96yl
xxxx://00ld545z6vv4i70qc7x.courtdo.site/MRt1Z80Wrk3S96yl
<< Скриншот записки / Screenshot of note

Обновление от 1 ноября 2017:
Пост в Твиттере >>
Новая вредоносная кампания Magniber 
ID: U261X574T67287Bs
Расширение: .skvtb
Новые порталы:
xxxx://gcxdedv2a1zs81w2j23.e263g2eb53wgzvgk.onion/U261X574T67287Bs
xxxx://gcxdedv2a1zs81w2j23.icehas.today/U261X574T67287Bs
xxxx://gcxdedv2a1zs81w2j23.ofguide.xyz/U261X574T67287Bs
xxxx://gcxdedv2a1zs81w2j23.withguy.space/U261X574T67287Bs
xxxx://gcxdedv2a1zs81w2j23.lowson.agency/U261X574T67287Bs 



Обновление ноября 2017:
Новые расширения:
.madrcby
.jdakuzbrk
.ymdmf
.vbdrj
.fprgpk
.iupgujqm
.Ihjjnetmm
.vpgvlkb

Обновление от 27 ноября 2017:
Пост в Твиттере>>
Та же вредоносная кампания против Южной Кореи
ID: LAm6597463bf7G87
Расширение / Extension: .vpgvlkb
Маркер файла / File's marker: "ElD10671hu1384Z8"
Записка / Ransom-note: read me for decrypt.txt
Tor-URL:  ***.y66remv7qqmlgvyn.onion
***.moralme.agency/LAm6597463bf7G87
***.madbits.schule/LAm6597463bf7G87
***.cupeye.life/LAm6597463bf7G87
***.putsits.world/LAm6597463bf7G87


Обновление от 1 декабря 2017:
Пост в Твиттере >>
Та же вредоносная кампания против Южной Кореи
ID: g020s450pw5195Po
Расширение: .dlenggrl
Tor-URL: ***.wnhzkwxjrmi3eaop.onion/g028s450pw5195Po
***.termsas.world/g020s450pw5195Po
***.bodydie.today/g020s450pw5195Po
***.offsite.website/g020s450pw5195Po
***.bewomen.schule/


Обновление от 2 декабря 2017:
Пост в Твиттере / Tweet >>

Расширение: .xhspythxn
Маркер файлов: ydum13807s92qXqp
Записка: READ_FOR_DECRYPT.txt
Новые URL: ***.j77tg3w3j35scjzu.onion/ydum13807s92qXqp
***.lostdry.website/ydum13807s92qXqp
***.killput.world/ydum13807s92qXqp
***.hespen.services/ydum13807s92qXqp
***.redhow.site/ydum13807s92qXqp



Обновление от 2 декабря 2017:
Пост в Твиттере >>
Расширение: .dwbiwty
Маркер файлов: U8r994Or5C28197k

Обновление от 2 декабря 2017:
Пост в Твиттере >>
Расширение: .fbuvkngy
Маркер файлов: d33z4EBS44ByO850
Записка: READ_FOR_DECRYPT.txt
URL: ***.bewomen.schule/***


Обновление от 3 декабря 2017:
Пост в Твиттере >>
Расширение: .dxjay
Маркер файлов: B6H3KY2K3F8l6m90
Записка: READ_FOR_DECRYPT.txt


Обновление от 4 декабря 2017:
Расширение + маркер файлов:
.axlgsbrms + R16l4cq66AB5g658
.damdzv + E0H0850341t59O43
.demffue + tLNSY1Ah0a0O803c
.mftzmxqo + zQ6PZhBDDNS85T80
.mqpdbn + D98C26fX6609616N
.nhsajfee + GKY5ZBan948Bft9Z
.qmdjtc + aU2942WZ8KUX7632
Посты в Твиттере: пост1, пост2


Обновление от 13 декабря 2017:
Пост в Твиттере >>
Расширение: .wmfxdqz
Записка: READ_FOR_DECRYPT.txt
Результаты анализов на payload: HA + VT

Скриншот записки о выкупе и список расширений

Обновление от 2 марта 2018:
Пост в Твиттере >>
Новый формат записки: READ_ME.txt
Формат адресов не изменился.


Июнь 2018:
С июня атаки Magniber переключились на другие страны Азиатско-Тихоокеанского региона: Китай, Гонконг, Тайвань, Сингапур, Малайзия, Бруней, Непал и другие. 


Обновление от 5 июля 2018:
Расширение: .ypkwwmd
URL: xxxx://4i5z1h6i0z7v55p1y0y.seeaewxughnmr7k5.onion/ypkwwmd
xxxx://4i5z1h6i0z7v55p1y0y.vipsound.host/ypkwwmd
xxxx://4i5z1h6i0z7v55p1y0y.horsego.site/ypkwwmd
xxxx://4i5z1h6i0z7v55p1y0y.bitssun.space/ypkwwmd
xxxx://4i5z1h6i0z7v55p1y0y.weekbad.host/ypkwwmd
Топик на форуме >>



Обновление от 16 июля:
Результаты анализов: 
VT (Magniber original)
VT (Magniber базовая DLL)

Обновление от 26 декабря 2018:
Пост на форуме >>
Сумма выкупа: 0.6-1.2
BTC: 1FMCYggJn1DhN4cYZG4yGDbaj6BPx3tCze
Записка: readme.txt
➤ Содержание записки:
Your documents, photos, databases and other important files have been encrypted! 
WARNING! Any attempts to restore your files with the third-party software will be fatal for your files! WARNING! 
To decrypt your files you need to buy the special software - "My Decryptor"
All transactions should be performed via BITCOIN network. 
Within 5 days you can purchase this product at a special price: BTC 0.6 (~ $2270) 
After 5 days the price of this product will increase up to: BTC 1.200 (~ $4540)
3. Send BTC 0.600 to the following Bitcoin address:   1FMCYggJn1DhN4cYZG4yGDbaj6BPx3tCze 
4. Control the amount transaction at the "Payments History" panel below 
5. Reload current page after the payment and get a link to download the software
The following is in the "readme.txt"
 ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
=============================================================================
 Your files are NOT damaged! Your files are modified only. This modification is reversible.
 The only 1 way to decrypt your files is to receive the private key and decryption program.
 Any attempts to restore your files with the third party software will be fatal for your files!
=========================================================================
 To receive the private key and decryption program follow the instructions below:
 1. Download "Tor Browser" from https://www.torproject.org/ and install it.
 2. In the "Tor Browser" open your personal page here:
 http://xxxxxxxxxxxxxxxxxxxxxxxfcmmwjagg.3hu33vpr5aw7zey2.onion/fcmmwjagg
 Note! This page is available via "Tor Browser" only.
=============================================================================
 Also you can use temporary addresses on your personal page without using "Tor Browser":
 http://xxxxxxxxxxxxxxxxxxxxxxxfcmmwjagg.brownpi.club/fcmmwjagg
 http://xxxxxxxxxxxxxxxxxxxxxxxfcmmwjagg.fishare.top/fcmmwjagg
 http://xxxxxxxxxxxxxxxxxxxxxxxfcmmwjagg.orcrash.icu/fcmmwjagg
 http://xxxxxxxxxxxxxxxxxxxxxxxfcmmwjagg.ofand.icu/fcmmwjagg
 Note! These are temporary addresses! They will be available for a limited amount of time!

Обновление от 20 февраля 2019:
Тема на форуме >>
Расширение: .bvaqtum
Шаблон расширения: .<random{5-9}>
Записка: readme.txt


➤ Содержание записки:

 ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
 =========================================================================
 Your files are NOT damaged! Your files are modified only. This modification is reversible.
 The only 1 way to decrypt your files is to receive the private key and decryption program.
 Any attempts to restore your files with the third party software will be fatal for your files!
 =========================================================================
 To receive the private key and decryption program follow the instructions below:
 1. Download "Tor Browser" from https://www.torproject.org/ and install it.
 2. In the "Tor Browser" open your personal page here:
 xxxx://10d42e48c430e080800bvaqtum.tmw2mb37epapjbfm.onion/bvaqtum
 Note! This page is available via "Tor Browser" only.
 =========================================================================
 Also you can use temporary addresses on your personal page without using "Tor Browser":
 xxxx://10d42e48c430e080800bvaqtum.refits.top/bvaqtum
 xxxx://10d42e48c430e080800bvaqtum.sendown.icu/bvaqtum
 xxxx://10d42e48c430e080800bvaqtum.howthat.top/bvaqtum
 xxxx://10d42e48c430e080800bvaqtum.astopic.icu/bvaqtum
 Note! These are temporary addresses! They will be available for a limited amount of time!

---
Множество однотипных вариантов с различными случайно сгенерированными расширениями были пропущенными. Эта угроза до сих пор активна. Одно из новых обновлений см. ниже. 
---
Обновление от 27 мая 2019 года:
Топик на форуме >>
Расширение: .fbpxgklpx
Записка: readme.txt
BTC: 1LvoajQqGNQqF6vukWia7dk6c9PbHg6PiM


➤ Содержание записки:

 ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
 =============================================================================
 Your files are NOT damaged! Your files are modified only. This modification is reversible.
 The only 1 way to decrypt your files is to receive the private key and decryption program.
 Any attempts to restore your files with the third party software will be fatal for your files!
 =============================================================================
 To receive the private key and decryption program follow the instructions below:
 1. Download "Tor Browser" from https://www.torproject.org/ and install it.
 2. In the "Tor Browser" open your personal page here:
 hxxx://ea3066c82c989680c44fbpxgklpx.s73okl4w7a2ur4b3.onion/fbpxgklpx
 Note! This page is available via "Tor Browser" only.
 =============================================================================
 Also you can use temporary addresses on your personal page without using "Tor Browser":
 hxxx://ea3066c82c989680c44fbpxgklpx.waswarm.world/fbpxgklpx
 hxxx://ea3066c82c989680c44fbpxgklpx.pastfit.info/fbpxgklpx
 hxxx://ea3066c82c989680c44fbpxgklpx.nicer.win/fbpxgklpx
 hxxx://ea3066c82c989680c44fbpxgklpx.messso.icu/fbpxgklpx

 Note! These are temporary addresses! They will be available for a limited amount of time!


=== 2022 ===

Новость от 6 января 2022:
Magniber теперь распространяется через уязвимости в Microsoft Edge и Google Chrome. Используется замаскированный под приложение для Chrome или Edge файл APPX (с расширением .appx), который внутри содержит действительный сертификат. Поэтому приложение в Windows сортируется как доверенное приложение, что позволяет его установку. 


Вариант от 27 апреля 2022:
Расширение (примеры): .yyqiidt, .cyvpbwzfv, .lpdyefulm
Расширение (шаблон): .<random{7-9}>
Записка: README.html
Файлы замаскированы под обновления для Windows 10 и распространяются с пиратских сайтов. 
Это могут быть файлы: 
Security_Upgrade_Software_Win10.0.msi
Win10.0_System_Upgrade_Software.msi
System.Upgrade.Win10.0-KB47287134.msi и другие. 
Результаты анализов: VT + AR + TG
Результаты анализов: VT + AR 

 

 

➤ Содержание записки:
ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
===============================================================
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third party software will be fatal for your files!
===============================================================
To receive the private key and decryption program follow the instructions below:
1. Download 'Tor Browser' from https://www.torproject.org/ and install it.
2. In the 'Tor Browser' open your personal page here:
hxxx://d4b86aa00c34f6e064ayyqiidt.mhlx63m7qbsiovcr74v2zvjxbv7pgjarawrab7oaf4wc2mjwikhoeaad.onion/yyqiidt
Note! This page is available via 'Tor Browser' only.
====================================================================================================
Also you can use temporary addresses on your personal page without using 'Tor Browser':
hxxx://d4b86aa00c34f6e064ayyqiidt.oddcopy.info/yyqiidt
hxxx://d4b86aa00c34f6e064ayyqiidt.rarefix.info/yyqiidt
hxxx://d4b86aa00c34f6e064ayyqiidt.raredo.info/yyqiidt
hxxx://d4b86aa00c34f6e064ayyqiidt.ofrisk.info/yyqiidt
Note! There are temporary addresses! They will be available for a limited amount of time!


Вариант от 20 мая 2022:
Расширение: .<random{5-9}>
Файл: moavjcbg.exe
Результаты анализов: VT + TG + IA


*** Множество пропущенных однотипных вариантов ***

=== 2024 ===

Вариант от 20 июля 2024:
Расширение: .<random{5-9}>
Пример расширения: .hmwxxc
Записка: READ_ME.htm
Tor-URL: 
hxxx://xp7alttqmr7f3hafog2iex37nwwqobdgdawvwj5hog5gyy7pgwy3kqad.onion/***








=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

К сожалению, для более поздних версий нет бесплатного дешифровщика. 
Только более ранние, корейские варианты можно было расшифровать. 
*
Мы будет отслеживать возможные случаи дешифровки. 
*

Внимание!
Специалистам AhnLab удалось дешифровать файлы для ранних вариантов. 
Ссылки на статью поддержки и корейские дешифраторы. 
http://asec.ahnlab.com/1123
http://asec.ahnlab.com/1124
http://asec.ahnlab.com/1125
http://asec.ahnlab.com/1126
http://asec.ahnlab.com/1127
http://asec.ahnlab.com/1129
http://asec.ahnlab.com/1132
http://asec.ahnlab.com/1136
http://asec.ahnlab.com/1137
Более новые версии, после 2018 года, не могут быть расшифрованы тем же способом.
Newer versions Magniber Ransomware, after 2018, cannot be decrypted in the same way. 
 Read to links: 
 Tweet on Twitter + myTweet + Tweet
 ID Ransomware (ID as Magniber, prev. My Decryptor)
 Write-up, Topic of Support
 Мой пост в теме поддержки >>
Added later:
Write-up by TrendMicro - October 18, 2017
Write-up by BleepingComputer - October 18, 2017
Write-up by MalwarebytesLabs - October 18, 2017
Write-up by Malwaebyteslabs - July 16, 2018 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author) 
 Kafeine, Lawrence Abrams, 
 TrendMicro, Malwarebyteslabs, AnhLab

© Amigo-A (Andrew Ivanov): All blog articles.


Это восьмисотая статья блога!!!

пятница, 13 октября 2017 г.

x1881 CryptoMix

x1881 Ransomware 

x1881 CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Ripple. Фальш-копирайт: Telling Telecommunication Holding Co. На файле написано: Ripple.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> Error, Empty, Shark > x1881

Фактически дублирует все функции и повторяет деструктивные действия, которые производят его "братья" Shark, Error и Empty Ransomware семейства CryptoMix, поколения Revenge

К зашифрованным файлам добавляется расширение .x1881

Примеры зашифрованных файлов: 
0A82FFC22719B951484F6ED62B4D9D99.xl881
0F860D4838E310016043FF683F09F449.xl881
2C602DB801FF693C85C01DDC057D4D84od881

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT
x1881 CryptoMix

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
x1881@tuta.io
x1883@yandex.com
x1881@protonmail.com
x1884@yandex.com
Please send email to all email addresses! We will help You as soon as possible!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Привет!
Все Ваши данные зашифрованы!
Для подробной информации отправьте нам email с Вашим ID номером:
x1881@tuta.io
x1883@yandex.com
x1881@protonmail.com
x1884@yandex.com
Отправьте email на все email-адреса! Мы поможем Вам как можно быстро!
DECRYPT-ID-[id] number



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Выполняет деструктивные команды:
sc stop VVS
stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
vssadmin.exe Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Admin"="C:\ProgramData\[Random].exe"
См. ниже результаты анализов.

Сетевые подключения и связи:
x1881@tuta.io
x1883@yandex.com
x1881@protonmail.com
x1884@yandex.com
См. ниже результаты анализов.

Связанные публичные ключи:
См. статью на сайте BC. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DoubleLocker

DoubleLocker Ransomware

CryEye Ransomware

(шифровальщик-вымогатель для Android, мобайл-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей на Android-устройствах с помощью AES, а затем требует выкуп в 0.0130 BTC, чтобы вернуть файлы. Выкуп должен быть уплачен в течение 24 часов. Но, если выкуп не уплачен, данные остаются зашифрованными и не удаляются. Оригинальное название: CryEye. Прототип распространялся под именем CryEye на форумах Даркнета с лета 2017. 

© Генеалогия: Удобная ниша (CNAM) >> DoubleLocker

CNAM (Convenient niche for Android malware) — в переводе "Удобная ниша для вредоносного ПО для Android", которая изначально поспособствовала разработке и распространению вредоносных программ для Android-устройств. 
Я придумал этот термин, чтобы в культурной форме назвать это злачное место. 

Этимология  названия:
DoubleLocker получил это название за то, что он дважды блокирует Android-устройство: изменяет PIN-код и шифрует файлы на устройстве. 

К зашифрованным файлам добавляется расширение .cryeye

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает сообщение на экране устройства.
Содержание записки о выкупе:
Current state information
Your personal documents and files on this device have just been crypted. The original files have been deleted and will only be recovered by following the steps described below. The encryption was done with a unique generated encryption key (using AES-256).
Data will be lo after 23h
Number of encrypted files 3437
The cost of the key for decryption 0.0130 BTC
---
Please make payment to this Bitcoin address or you can scan QR-code to get Bitcoin-address easily. The operation is complete if there are 3 confirmations.
1HxKouDDK9WbkizMEnf23tftHSefWhlUyXR
send 0.0130 BTC to this address to get private key

Перевод записки на русский язык:
Текущая информация о состоянии
Ваши личные документы и файлы на этом устройстве только что были зашифрованы. Исходные файлы были удалены и будут восстановлены только после выполнения описанных ниже действий. Шифрование было выполнено с помощью уникального сгенерированного ключа шифрования (с использованием AES-256).
Данные будут потеряны после 23 часов
Количество зашифрованных файлов 3437
Стоимость ключа для дешифрования 0.0130 BTC
---
Пожалуйста, сделайте оплату на этот биткойн-адрес или вы можете сосканировать QR-код, чтобы легко получить биткойн-адрес. Операция завершена, если есть 3 подтверждения.
1HxKouDDK9WbkizMEnf23tftHSefWhlUyXR
отправьте 0.0130 BTC по этому адресу, чтобы получить секретный ключ


1)  2) 3)

1) Оригинальное название — CryEye, указано внизу первого скриншота.
2) Полный текст требований с ответом на вопрос "Как я могу заплатить?".
3) Телефон не может опознать SIM-карту, работа устройства невозможна.



Удаление и защита от DoubleLocker (CryEye)


Чтобы удалить DoubleLocker, можно использовать следующие способы.

1) На нерутованном устройстве, на котором не установлено программное решение для управления мобильным устройством, способное сбросить PIN-код, есть только один способ избавиться от экрана блокировки – сбросить устройство до заводских настроек. См. там, например, Настройки - Восстановление и сброс - Сброс настроек - Сбросить настройки. 

2) На рутованном устройстве, на котором ранее было установлено программное решение для управления мобильным устройством, пользователь может подключиться к устройству через ADB (Android Debug Bridge - Отладочный мост Android) и удалить файл, в котором хранится PIN-код. 
- Для этого надо в настройках включить отладку устройства по USB (Настройки – Параметры разработчика – Отладка по USB). 
- Если устройство было рутовано ранее, а потом отладка по USB была выключена, то временным "разработчиком" своего устройства можно стать, если потыкать 5 раз пункт "Номер сборки" и вернуться. Появится пункт "Для разработчиков", если его раньше не было, а там уже будет опция "Отладка по USB". Её можно как включить, так и отключить. 
- Теперь можно удалить экран блокировки и вернуть доступ к устройству. 
- Потом перезагрузить устройство в безопасном режиме, деактивировать права администратора устройства для DoubleLocker (CryEye) и прочих неизвестных вам приложений и удалить его.
- Затем нужно перезагрузить устройство в нормальном режиме.
- Режим "Для разработчиков" обычно отключается переключателем, находящейся в верхней части этого раздела. 


Для профилактики заражения Android-устройства подобными вредоносами следует защищать его качественными продуктами информационной безопасности и регулярно делать резервные копии имеющихся данных, например, с помощью отладки по USB или облачных средств хранения данных. 


Технические детали

DoubleLocker распространяется под видом фальшивого Adobe Flash Player через скомпрометированные сайты. Может также начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

DoubleLocker можно считать первым шифровальщиком-вымогателем, использующим службу специальных возможностей Android Accessibility Service. Он не только шифрует данные, но и блокирует устройство. Функций, связанных со сбором банковских данных пользователей и удаления аккаунтов, у него не активированы, вместо этого DoubleLocker настроен для вымогательства выкупа в биткоинах. 

Точнее, сначала DoubleLocker пытается стереть найденные банковский и PayPal-аккаунты, а затем заблокирует устройство и данные, чтобы запросить выкуп. Возможно, что в будущем он будет сам похищать информацию и средства. 

После запуска вредонос предлагает активировать службу специальных возможностей "Google Play Service". После получения разрешения DoubleLocker использует их для активации прав администратора устройства и без согласия пользователя устанавливает себя как программа-лаунчер по умолчанию. После чего, любое нажатие пользователь на кнопку «Домой» заново активирует вымогателя и снова блокирует устройство. 

Аргументы, которыми вымогатель может заставить заплатить выкуп:

1) DoubleLocker изменяет PIN-код планшета или смартфона, что не даёт использовать устройство; в качестве нового PIN задается случайное значение, код не хранится на устройстве и никуда не отправляется, поэтому пользователь не сможет его восстановить, но после получения выкупа злоумышленник может удалённо сбросить PIN и разблокировать устройство. 

2) DoubleLocker шифрует все файлы в основном хранилище устройства, используя алгоритм шифрования AES и добавляет расширение .cryeye к зашифрованным файлам.

Список файловых расширений, подвергающихся шифрованию:
Это документы офисных программ, PDF, текстовые файлы, фотографии, музыка, видео и пр.
Пример зашифрованных файлов

Файлы, связанные с этим Ransomware:
***
Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===



 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DoubleLocker)
 Write-up, Write-up, Write-up, 
🎥 Video review + Video review
 Thanks: 
 Lukas Stefanko, ESET NOD32
 Michael Gillespie
 Catalin Cimpanu
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *