Если вы не видите здесь изображений, то используйте VPN.

вторник, 24 октября 2017 г.

Bad Rabbit

Bad Rabbit Ransomware

"Плохой кролик" атакует!

(шифровальщик-вымогатель, MBR-модификатор)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


Этот крипто-вымогатель шифрует данные с помощью AES-128 (режим CBC) + RSA-2048 для ключа, а затем требует выкуп 0.05 BTC (~300$), чтобы вернуть файлы. Оригинальное название: Bad Rabbit. На файле может быть написано Adobe® Flash® Player Installer/Uninstaller, Update Adobe Flash Player или что попало. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Petya NSA EE (modified) > Bad Rabbit


BadRabbit Ransomware
Изображение не принадлежит шифровальщику

Этимология названия:
Название Bad Rabbit написано на странице вымогателей в сети Tor. 
В переводе с английского: Плохой Кролик. 🐰

К зашифрованным файлам дополнительное расширение не добавляется. 
Зато к концу содержимого каждого файла добавляется маркер e.n.c.r.y.p.t.e.d.
Я выделил этот маркер красным

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на англоязычных пользователей, что позволяет распространять его по всему миру, главным образом среди корпоративных пользователей, имеющих серверы, локальную и корпоративную сеть. 

✔ Большинство атак пришлось на Россию и Украину, Турцию, Болгарию, Японию и другие страны, в их числе: Германия, Польша, Чехия, Румыния, Южная Корея и США. На Россию — в первые 2 часа, с 10.00 до 12.00 по UTC. Активная фаза продолжалась до полудня, но отдельные атаки зафиксированы до 19.55 по Москве. Сервер, с которого распространялся дроппер BadRabbit, был отключен вечером 24-го октября.
 

Уже известно, что пострадало несколько сайтов российских СМИ, в том числе сайты "Интерфакс", "Фонтанка", "Новая газета в Санкт-Петербурге", "Аргументы недели".
В Украине в числе пострадавших Киевский метрополитен, аэропорт Одессы, Министерство инфраструктуры Украины, некоторые государственные учреждения, некоторые региональные подразделения "Укрэнерго", сети магазинов, банки, СМИ и телекоммуникационные компании. 
В Турции пострадали государственные агентства и некоторые неназванные компании. 

Запиской с требованием выкупа выступает главным образом экран блокировки, хотя есть и записка в виде текстового файла README.txt с почти аналогичным содержанием.


BadRabbit Ransomware - "Плохой кролик" атакует 
Экраны блокировки у BadRabbit (у всех жертв разные ключи)

Содержание текста о выкупе:
Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our decryption service.
We guarantee that you can recover all your files safely. All you need to do is submit the payment and get the decryption password. 
Visit our web service at caforssztxqzf2nm.onion
Your personal installation key#l:
ZORqoZdoI+vr6*****
If you have already got the password, please enter it below.
Password#1: 

Перевод текста на русский язык:
Упс! Ваши файлы были зашифрованы.
Если вы видите этот текст, то ваши файлы недоступны.
Возможно, вы ищете способ восстановить свои файлы.
Не тратьте своё время. Никто не восстановит их без нашей службы расшифровки.
Мы гарантируем, что вы сможете безопасно восстановить все свои файлы. Все, что вам нужно сделать, это отправить платеж и получить пароль для дешифрования.
Посетите наш веб-сервис в caforssztxqzf2nm.onion
Ваш персональный инсталл-ключ №1:
ZORqoZdoI+vr6*****
Если у вас уже есть пароль, введите его ниже.
Пароль №1:

Скриншот записки README.txt

Содержание записки о выкупе:
Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time. No one will be able to recover them without our
decryption service.
We guarantee that you can recover all your files safely. All you need to do is submit the payment and get the decryption password.
Visit our web service at caforssztxqzf2nm.onion
Your personal installation key#2: KYbfaXkqP*****

Перевод записки на русский язык:
Упс! Ваши файлы были зашифрованы.
Если вы видите этот текст, то ваши файлы недоступны.
Возможно, вы ищете способ восстановить свои файлы.
Не тратьте своё время. Никто не восстановит их без нашей службы расшифровки.
Мы гарантируем, что вы сможете безопасно восстановить все свои файлы. Все, что вам нужно сделать, это отправить платеж и получить пароль для дешифрования.
Посетите наш веб-сервис в caforssztxqzf2nm.onion
Ваш персональный инсталл-ключ №2: KYbfaXkqP*****


При переходе на TOR-сайт вымогателей взору открывается играющая цветами радуги страница.
BadRabbit tor onion
Скриншот с сайта вымогателей

Содержание текста на сайте:
BAD RABBIT
If you access this page your computer has been encrypted. Enter the appeared personal key in the field below. If succeed, you'll be provided with a bitcoin account to transfer payment. The current price is on the right.
Once we receive your payment you'll get a password to decrypt your data. To verify your payment and check the given passwords enter your assigned bitcoin address or your personal key.
Time left before the price goes up
36-25-48
Price for decryption:
฿ 0.05 

Перевод на русский: 
BAD RABBIT
Если вы зашли на эту страницу, то ваш компьютер зашифрован. Введите полученный личный ключ в поле ниже. Если вы добьётесь успеха, вам будет предоставлен биткоин-аккаунт для перевода платежа. Текущая цена находится справа.
Как только мы получим ваш платеж, вы получите пароль для дешифрования ваших данных. Чтобы подтвердить свой платеж и проверить данные паролей, введите назначенный биткоин-адрес или ваш личный ключ.
Время до начала роста цены
36-25-48
Цена за расшифровку:
฿ 0.05 


Скриншоты с некоторых пострадавших сайтов.
BadRabbit attack - "Плохой кролик" атакует
Сайт "Аргументы недели" с фальшивым обновлением Adobe Flash Player
Сообщение Интерфакс в Твиттере
Сообщение CERT-UA



 Как уберечься от этой вирусной атаки? 

Специалисты из ЛК и другие рекомендуют для того, чтобы не стать жертвами новой эпидемии:
1) заранее сделать бэкап (резервные копии) важных файлов;
2) заблокировать исполнение файлов C:\Windows\infpub.dat, C:\Windows\cscc.dat, заранее самому создав такие файлы, и в свойствах этих файлов удалить все разрешения и наследования;
3) если возможно, запретить использование сервиса WMI;
4) установить патчи для всех компьютеров сети (см. "Рекомендации по предотвращению угрозы" в статье WanaCrypt0r 2.0 Ransomware).  

✔ Пользователям защитных решений ЛК рекомендуется включить компоненты Kaspersky Security Network (KSN) и "Мониторинг активности" (System Watcher), если они были ранее отключены. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, наборов эксплойтов, веб-инжектов, фальшивых обновлений (Adobe Flash в частности), перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Процесс заражения начинается с фальшивого установщика Adobe Flash, который загружается с зараженных сайтов. Он содержит упакованный пейлоад, который содержит не менее шести различных инструментов, сжатых в ZLIB-ресурсы, которые используются для извлечения из памяти логин-паролей (утилита Mimikatz), для шифрования (DiskCryptor), а также для других выполняемых задач. 

Для ускорения процесса распространения по всем компьютерам локальной сети, BadRabbit использует модифицированную версию эксплойта NSA EternalRomance, написанного для дистанционной установки и запуска SMB-бэкдора, и специальный механизм сканирования, основанный на протоколе SMB, который также способствовал распространению EternalRomance. 
Как работает этот эксплойт, читайте в статье о EternalRomance от Microsoft. 

Модифицированность этого эксплойта не позволила обнаружить его при первых анализах. Возможно, это говорит в пользу того, что Bad Rabbit и NotPetya были созданы одними и теми же авторами. 

После перезагрузки системы доступ к ней блокируется, а на экран выводится ещё одно уведомление с требованием заплатить выкуп за ключ дешифрования.

⛳ Итак, подытожим:
- BadRabbit использует легальные инструменты Windows: Management Instrumentation (WMI) и Service Control Manager Remote Protocol.
- BadRabbit использует инструмент Mimikatz для извлечения из памяти логин-паролей и других учётных данных. 
- BadRabbit использует WebDAV — это протокол для передачи и управления файлами на веб-серверах, реализации облачных хранилищ информации. 
- Bad Rabbit не использует эксплойт EternalBlue, но использует EternalRomance из набора эксплойтов АНБ США.
- BadRabbit использует ПО DiskCryptor для шифрования разделов на диске. 
- BadRabbit имеет жёстко закодированный список учётных данных. 
- BadRabbit очищает журналы событий, но создаёт запланированные задачи с названиями Drogon, Rhaegal и Viserion*, по которым можно отследить журналы событий этой деятельности. Например:
-- событие "Event 1102" — журнал аудита очищен; 
-- событие "Event 106" — создана запланированная задача. 
- Bad Rabbit перечисляет все запущенные процессы и сравнивает хэш от имени каждого процесса с имеющимся у него списком хэшей. При этом используемый алгоритм хэширования похож на тот, что использовался NotPetya.
- Bad Rabbit, зашифровав файлы жертвы, шифрует MFT (таблицу основных файлов) и заменяет MBR (главную загрузочную запись) специальным загрузочным экраном.
- Bad Rabbit шифрует файлы с помощью AES-128 (режим CBC) и RSA-2048. 
- Bad Rabbit шифрует разделы диска с помощью AES (режим XTS). Пароль генерируется dispci.exe с использованием функции WinAPI CryptGenRandom и имеет длину 32 символа.
- BadRabbit изменяет MBR, находящуюся в первом секторе жёсткого диска, чтобы изменить процесс загрузки и отобразить свои требования о выкупе. 
---
* Drogon, Rhaegal, Viserion - это имена трёх драконов из американского телесериала «Игры престолов». 
---

ВАЖНО: Одна скомпрометированная машина с правами администратора внутри своей сети способна заразить все остальные компьютеры, используя WMI, Mimikatz, WebDAV и модифицированную версию эксплойта NSA EternalRomance. 

Список файловых расширений, подвергающихся шифрованию:
.3ds, .7z, .accdb, .ai, .asm, .asp, .aspx, .avhd, .back, .bak, .bmp, .brw, .c, .cab, .cc, .cer, .cfg, .conf, .cpp, .crt, .cs, .ctl, .cxx, .dbf, .der, .dib, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .hpp, .hxx, .iso, .java, .jfif, .jpe, .jpeg, .jpg, .js, .kdbx, .key, .mail, .mdb, .msg, .nrg, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .ora, .ost, .ova, .ovf, .p12, .p7b, .p7c, .pdf, .pem, .pfx, .php, .pmf, .png, .ppt, .pptx, .ps1, .pst, .pvi, .py, .pyc, .pyw, .qcow, .qcow2, .rar, .rb, .rtf, .scm, .sln, .sql, .tar, .tib, .tif, .tiff, .vb, .vbox, .vbs, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmtm, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xml, .xvd, .zip (113 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
flash_install.php - загружаемый установщик
install_flash_player.exe - загружаемый установщик
FlashUtil.exe - загружаемый установщик
infpub.dat - шифровальщик 
dispci.exe - шифровальщик-дешифровщик (из DiskCryptor)
cscc.dat (dcrypt.sys) - драйвер ядра для шифрования (из DiskCryptor)
viserion_23.job - перезагружает систему для блокировки
drogon.job – блокирует компьютер
rhaegal.job - запускает дешифровщик
README.txt - записка о выкупе
<image> - изображение на экран
<ramdom>.tmp - временный файл

Расположения:
C:\README.txt
C:\Windows\<ramdom>.tmp
C:\Windows\infpub.dat
C:\Windows\System32\Tasks\drogon
C:\Windows\System32\Tasks\rhaegal
C:\Windows\cscc.dat
C:\Windows\dispci.exe
Infpub.dat выполняется через Rundll32.exe

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"DisplayName" = "Windir Client Side Caching DDriver"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"ImagePath" = "cscc.dat"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"Type" = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"ErrorControl" = "3"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"Start" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"DependOnGroup" = ""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"Group" = "Filter"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cscc\"DependOnService" = "FltMgr"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318}\"UpperFilters" = "cscc"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F}\"LowerFilters" = "cscc"
См. ниже результаты анализов.

Запланированные задачи для выполнения определённых функций:
schtasks /Create /RU SYSTEM /SC ONSTART /TN rhaegal /TR "%SYSTEM%\cmd.exe /C Start \"\" \"%Windir%\dispci.exe\" -id [NUMBER] && exit"
schtasks /Create /SC once /TN drogon /RU SYSTEM /TR "%SYSTEM%\shutdown.exe /r /t 0 /f" /ST [TIME]

Используя wevtutil вредонос очищает следующие журналы: 
Setup
System
Security
Application

Используя fsutil вредонос удаляет журнал USN.

Сетевые подключения и связи:
xxxx://caforssztxqzf2nm.onion/ - сайт оплаты
xxxx://185.149.120.3/scholargoogle/ - URL веб-инжекта
xxxx://1dnscontrol.com/flash_install.php - сайт-распространитель
xxxx://webcheck01.net 
xxxx://webdefense1.net 
xxxx://secure-check.host 
xxxx://firewebmail.com 
xxxx://secureinbox.email 
xxxx://secure-dns1.net
BTC: 1GxXGMoz7HAVwRDZd7ezkKipY4DHLUqzmM
17GhezAiRhgB8DGArZXBkrZBFTGCC9SQ2Z
См. также ниже результаты анализов.

Список некоторых скомпрометированных сайтов:
xxxx://an-crimea.ru***
xxxx://ankerch-crimea.ru***
xxxx://argumenti.ru***
xxxx://argumentiru.com***
xxxx://bg.pensionhotel.com***
xxxx://blog.fontanka.ru***
xxxx://calendar.fontanka.ru***
xxxx://grupovo.bg***
xxxx://i24.com.ua***
xxxx://most-dnepr.info***
xxxx://novayagazeta.spb.ru***
xxxx://osvitaportal.com.ua***
xxxx://spbvoditel.ru***
xxxx://www.aica.co.jp***
xxxx://www.fontanka.ru***
xxxx://www.grupovo.bg***
xxxx://www.imer.ro***
xxxx://www.mediaport.ua***
xxxx://www.online812.ru***
xxxx://www.otbrana.com***
xxxx://www.pensionhotel.cz***
xxxx://www.sinematurk.com***
xxxx://www.t.ks.ua

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  VT+
Symantec: Ransom.BadRabbit >>
Ещё образцы от JAMESWT



Примечание 1:
Malwarebytes Labs предложили сравнение экранов шифровальщиков-вымогателей BadRabbit и NotPetya (он же Petna, Petya NSA EE). Хотя они технологически отличаются, но их экраны с требованиями выкупа во много схожи. Что бы это значило? 

Лично у меня нет сомнения, что за многими целенаправленными атаками на Россию, Украину и их соседей стоят одни и те же хорошо спонсируемые кибер-криминальные группы. Их цели прозрачны и стары как мир — "Разделяй и властвуй!" (Divide et impera!)
Оба экрана для сравнения

Примечание 2:
Информация от ESET от 25 октября, см. ссылку в блоке ссылок.
- Bad Rabbit — новая версия шифровальщика NotPetya. 
- Сценарий атаки. При входе пользователя на зараженный сайт вредоносный код передает информацию о нем на удаленный сервер. Далее логика на стороне сервера определяет, представляет ли этот пользователь интерес. В данный момент связи с сервером нет.
- Если пользователь "интересен" шифратору, на странице зараженного сайта появляется всплывающее окно с предложением загрузить обновление для Flash Player. Нажав кнопку "Установить", пользователь загружает исполняемый файл, который и запускает шифратор. Далее файлы жертвы шифруются, а на экране появляется требование выкупа в размере 0,05 BTC. 
- Заразив рабочую станцию в организации, шифратор распространяется по корпоративной сети через протокол SMB. В отличие от NotPetya, Bad Rabbit не использует эксплойт EthernalBlue — вместо этого он сканирует сеть на предмет открытых сетевых ресурсов. 

Примечание 3:
Диаграмма инфекции, составленная специалистами из TrendMicro:
Увеличенный формат по клику

Примечание 4:
Информация от ЛК от 27 октября, см. ссылку в блоке ссылок.
"Мы обнаружили, что Bad Rabbit не удаляет после шифрования теневые копии файлов. Это значит, если теневые копии были включены до заражения, или полное шифрования диска не произошло, жертва может восстановить исходные версии зашифрованных файлов с помощью стандартной возможности Windows или сторонних программ по восстановлению файлов."
Увеличенный формат по клику

Примечание 5: Чего боится "Кролик"? 
Информация от Dr.Web от 26 октября 2017:
1) BadRabbit проверяет наличие в системе антивирусных процессов Dr.Web и McAfee (в частности, процессы с именами dwengine.exe, dwwatcher.exe, dwarkdaemon.exe, dwservice.exe, McTray.exe, mfevtps.exe и mcshield.exe). Если они обнаруживаются, то BadRabbit пропускает первый этап шифрования, видимо, с целью избежать преждевременного обнаружения, однако пытается запустить полное шифрование диска после перезагрузки системы. 
2) Перед началом шифрования Trojan.BadRabbit выполняет ряд подготовительных действий, после чего в Планировщике Windows создает задачу на перезагрузку компьютера через 3 минуты. Далее каждые 30 секунд троянец удаляет старое задание и создает новое, постоянно смещая время, когда должна выполниться задача. Вероятно, это сделано на случай обнаружения вредоноса до того, как завершится шифрование дисков. 

Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


См. выше примечания 1-4. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as BadRabbit)
 Write-up, Write-up, Write-up, Topic of Support 
Added later: 
Информация от ESET. Добавлено 25 октября 2017
Информация от TrenMicro. Добавлено 26 октября 2017
Информация от FSecure. Добавлено 27 октября 2017
Информация от Symantec. Добавлено 27 октября 2017
Информация от ЛК. Добавлено 27 октября 2017 + RUS
Информация от BC. Добавлено 28 октября 2017
Информация от Dr.Web. Добавлено 28 октября 2017
 Thanks: 
 Jiri Kropac‏, Michael Gillespie
 Lawrence Abrams, JAMESWT  

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 23 октября 2017 г.

Pennywise

Pennywise Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Address book. Название проекта: Setup. На файле написано: Address book.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Jigsaw >> Pennywise 

К зашифрованным файлам может добавляться расширение .beep

Образец этого крипто-вымогателя был найден во второй половине октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Видимо, пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки с Пеннивайзом, монстром в обличье клоуна из романа Стивена Кинга "Оно". 

Содержание записки о выкупе:
Your personal files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access them.
Every hour I select some of them to delete permanently, therefore I won't be able to access them, either.
If you turn off your computer or try to close me, when I start next time you will get 1000 files deleted as a punishment.
Yes you will want me to start next time, since I am the only one that is capable to decrypt your personal data for you.
Meanwhile..... You want a balloon? Hahahahaha_

Перевод записки на русский язык:
Ваши личные файлы будут удалены. Ваши фото, видео, документы и т.д.
Но, не волнуйся! Это будет, если вы не подчинитесь.
Но я уже зашифровал ваши личные файлы, потому они вам недоступны.
Каждый час я выбираю некоторые из них для удаления, поэтому я не смогу их получить.
Если выключите компьютер или попробуете закрыть меня, то в мой следующий запуск я удалю 1000 файлов в наказание.
Да, вы захотите, чтобы я ещё запустился, т.к. только я могу расшифровать ваши личные данные для вас.
Между тем ..... Ты хочешь шарик? Хахахахаха_


Содержание текста из окна дешифровщика:
Decrypting your files. It will take for a while. Do not click on me! If i crash you lose your files. After done I will close and completely remove myself from your computer.

Перевод текста на русский язык: 
Дешифровка ваших файлов. Это займет какое-то время. Не нажимайте на меня! Если я поломаюсь, вы потеряете свои файлы. После этого я закроюсь и самоудалюсь с компьютера.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip (127 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и пр.

Файлы, связанные с этим Ransomware:
Setup.exe
EncryptedFileList.txt
NotTxtTest.nottxt
TxtTest.txt
TxtTest.txt.beep
\dr\

Расположения:
C:\EncryptedFileList.txt
C:\FileSystemSimulation\NotTxtTest.nottxt
C:\FileSystemSimulation\TxtTest.txt
C:\FileSystemSimulation\TxtTest.txt.beep
C:\dr

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 21 июля 2018:
Пост в Твиттере >>
Расширение: .beep
Эти скриншоты показывают. что происходит на экране при вводе неправильного и правильного (QQlziAbDzrrWPjksTYoxYq) ключа:

По-прежнему отсутствуют контакты для уплаты выкупа. 
Странно, что он еще распространяется. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать JigsawDecrypter для дешифровки >>
Он регулярно обновляется под новые версии
Если не получится, напишите Майклу >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Comrade HT

Comrade HT Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $480 в BTC, чтобы вернуть файлы. Оригинальное название: Windows Desktop. На файле написано: Windows Desktop.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Comrade HT

К зашифрованным файлам добавляется расширение .comrade

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPT_FILES.txt

Содержание записки о выкупе:
All your files has been encrypted!
How do I get my files back?
Send $480 worth of Bitcoin to: 1Nw1qXBqV2CBUZ53aLyzD71XkzDYc6bXe5
and send a email to cybervigilante4453@protonmail.com
If you don't pay us within 24 hours, we will be forced to delete your decryption key.
If you turn off your pc, your files will automatically be encrypted again,
When you next boot.
Making it harder for you to decrypt your files.
Signed, Comrade.

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Как мне вернуть мои файлы?
Отправить 480 долларов в биткоинах на: 1Nw1qXBqV2CBUZ53aLyzD71XkzDYc6bXe5
и отправьте email на cybervigilante4453@protonmail.com.
Если вы не заплатите нам за 24 часа, мы будем вынуждены удалить ваш ключ дешифрования.
Если вы выключите компьютер, ваши файлы будут автоматически зашифрованы снова,
Когда вы в следующий раз загрузитесь.
Сложнее будет расшифровать ваши файлы.
Подпись, Товарищ.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Windows Desktop.exe
DECRYPT_FILES.txt

Расположения:
\Desktop\DECRYPT_FILES.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cybervigilante4453@protonmail.com
BTC: 1Nw1qXBqV2CBUZ53aLyzD71XkzDYc6bXe5
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Trick-Or-Treat

Trick-Or-Treat Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Trick Or Treat Ransomware. На файле написано: WindowsFormsApplication3.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К незашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, видимо, находится в разработке.

Запиской с требованием выкупа выступает экран блокировки с заголовком "Trick or Treat":

Содержание текста с экрана:
Trick or Treat
Uh Oh! Your Files Have Been Encrypted.
By Trick Or Treat Ransomware!
Decrypt My File's!

Перевод текста на русский язык:
Кошелёк или Жизнь
Ох! Ваши файлы зашифрованы.
Trick Or Treat Ransomware!
[Расшифруйте мои файлы!]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Trick Or Treat.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 30 октября 2017:
Пост в Твиттере >>
Файл: Trick Or Treat.exe
Результаты анализов: VT
Доделанный экран блокировки.
Новое фоновое изображение.
Появился текст о выкупе. 
Как и прежде, не шифрует файлы. 
 Экран блокировки и фоновая картинка


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AllCry

AllCry Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: Allcry Ransomeware (написано в заголовке экрана блокировки). На файле написано: allcry_upx.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .allcry

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на англоязычных и китайских пользователей, что не мешает распространять его по всему миру. Много жертв из Китая и Кореи. 

Записка о выкупе называется: ReadMe.dic

Содержание записки о выкупе:
Some files have been encrypted
Please send 1 bit coins to my wallet address
If you paid, send the machine code to my email
I will give you program to decryper
If there is no payment within seven days, 
we will no longer support decryption

部分文件已经被加密
请发送1个比特币到我的钱包
付款之后, 把你的硬件ID发送到我的邮件
我们将回复给你解密程序
如果在七天内没有支付,我们将不再支持解密
Btc wallet :1BSJXEPpBybtXZiXNh9xDBdJdNYdvnzXru
Email:allcrys@naij.com

Перевод записки на русский язык:
Некоторые файлы были зашифрованы
Пожалуйста, отправьте 1 биткоин на мой кошелек
Если вы заплатили, пришлите код машины на мой email-адрес
Я дам вам программу декриптер
Если в течение семи дней нет оплаты,
мы не будем поддерживать расшифровку
BTC-кошелек: 1BSJXEPpBybtXZiXNh9xDBdJdNYdvnzXru
Email:allcrys@naij.com

Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста о выкупе:
Sorry But You Have Been Hacked
Send 1 bitcoin for key
Bitcoin [1BSJXEPpBybtXZiXNh9xDBdJdNYdvnzXru]
Mail [allcrys@naij.com]
HardWareld
Key
[Decrypt]  [Cancel]

Перевод текста на русский язык:
Извините, но вы были взломаны
Отправьте 1 биткоин за ключ
Bitcoin [1BSJXEPpBybtXZiXNh9xDBdJdNYdvnzXru]
Mail [allcrys@naij.com]
HardWareld
Key
[Decrypt]  [Cancel]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
allcry_upx.exe
winsrv.exe
ReadMe.dic
\ransom_test\

Расположения:
\ransom_test\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: allcrys@naij.com
BTC: 1BSJXEPpBybtXZiXNh9xDBdJdNYdvnzXru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  VT+
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Allcry)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 22 октября 2017 г.

Coban CryptoMix

Coban Ransomware
Coban CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix ? >> Coban


Фактически дублирует все функции и повторяет деструктивные действия, которые производят его "братья" Shark, Error, Empty, x1881 Ransomware семейства CryptoMix, поколения Revenge. 

К зашифрованным файлам добавляется расширение .coban

Зашифрованные файлы переименовываются. 

Примеры зашифрованных файлов:
1AEA2D7A5CAA1694E0EAE1F62E67FB74.coban
12B23781AB24087B56C345E58FFBED5F.coban
54CB84E95C23DF04C1635D532C7441A5.coban

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.txt

Содержание записки о выкупе:
All your files are already encrypted due to a vulnerability in the system! 
For decoding it is necessary to pay ransom by bitcoins. 
Bitcoins can be bought here - localbitcoins.com in many ways.
Write to us at mail ms.decry@aol.com and tell us your unique ID in the subject line. 
DECRYPT-ID-ea003afd-e55a-490a-bf5f-2e2f0db***** number

Перевод записки на русский язык:
Все ваши файлы уже зашифрованы из-за уязвимости в системе!
Для дешифровки надо заплатить выкуп в биткоинах.
Биткоины можно купить здесь - localbitcoins.com разными способами.
Напишите нам на email ms.decry@aol.com и сообщите свой уникальный ID в теме.
DECRYPT-ID-ea003afd-e55a-490a-bf5f-2e2f0db***** number



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.txt
<random>.exe

Расположения:
%AppData%\Local\Temp\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ms.decry@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *