Если вы не видите здесь изображений, то используйте VPN.

среда, 1 ноября 2017 г.

Halloware

Halloware Ransomware
 🎃 THE HALLOWEEN VIRUS

(шифровальщик-вымогатель или фейк-шифровальщик)


Этот крипто-вымогатель шифрует (или пишет, что шифрует) данные пользователей с помощью AES-256, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: Halloware. На файле может быть написано, что угодно. Разработчик: tn cyber squard. В новой версии: Luc1F3R. 

© Генеалогия:  🎃 THE HALLOWEEN VIRUS

К зашифрованным файлам добавляется слово в скобках (Lucifer)

Активность этого крипто-вымогателя пришлась на первую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текстовая записка с требованием выкупа не оставляется. 

Запиской с требованием выкупа выступает onion-сайт, на котором используется "жуткое изображение" из набора обоев (creepy-christmas-wallpaper). 

Изображение "creepy-christmas-wallpaper"

Более ранний вариант Halloware со словом Unencrpyt в конце


Требования выкупа на Tor-сайте со словом decrypt в конце


Содержание записки о выкупе (два варианта):
Your Data Have Been Encrpyted
If You Need Your Data Back You Need To
Pay Us 150 Dollar bitcoin
btc address = 12SPbRUQC9Jz8z7wQyb28ZADAJVvpq6yEL
for help contact us Launch browser and go to the link (create email in TOR network): torbox3uiot6wchz.onion Write on email: tncybersquard@torbox3uiot6wchz.onion
Your Data Is Safe When You Pay Us We Will Give You Key And You Can Unencrpyt Your Data

***
Your Data Have Been Encrpyted
If You Need Your Data Back You Need To
Pay Us 150 Dollar bitcoin
for help contact us Launch browser and go to the link (create email in TOR network): torbox3uiot6wchz.onion Write on email: tncybersquard@torbox3uiot6wchz.onion
Your Data Is Safe When You Pay Us We Will Give You Key And You Can decrypt Your Data


Перевод записки на русский язык (грамота сохранена):
Ваши данные были зашифированы
Если вам нужны ваши данные назад, вам нужно
Заплатить нам 150 долларов
btc address = 12SPbRUQC9Jz8z7wQyb28ZADAJVvpq6yEL
для помощи свяжитесь с нами Запустите браузер и перейдите по ссылке (создайте email в сети TOR): torbox3uiot6wchz.onion Напишите на email: tncybersquard@torbox3uiot6wchz.onion
Ваши данные безопасны, когда вы платите нам. Мы дадим вам ключ, и вы можете расшифровать ваши данные



Технические детали

Был продемонстрирован в частном порядке. После доработки может начать распространяться любым из следующих способов: путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asp, .aspx, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .html, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa,  .mpeg, .mpg, .msg, .odt, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .ses, .sldm, .sldx, .sln, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (131 расширение без дублей). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Halloware.exe
<random>.exe

Видеопрезентация Halloware.exe - 🎃The Halloween Virus:
ссылка на ролик от 31 октября 2017 >>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://b6tnq5nrhxu6tqeu.onion
xxxx://b6tnq5nrhxu6tqeu.onion.rip
xxxx://zinrm67igbdcdy5h.onion
xxxx://zinrm67igbdcdy5h.onion.rip
Email: tncybersquard@torbox3uiot6wchz.onion
BTC: 12SPbRUQC9Jz8z7wQyb28ZADAJVvpq6yEL
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 2 декабря 2017:
Файлы: hmavpncreck.exe, bill.exe, hma_vpn_crecked.exe
Результаты анализов: VT + VT
Когда этот образец Halloware шифрует файлы с использованием жёстко закодированного ключа AES-256, то добавляет слово (Lucifer) к зашифрованным файлам. Например, после шифрования файл image.png станет (Lucifer)image.png

Примеры зашифрованный файлов от BC

По окончании шифрования Halloware выдаёт окно, показывающее жуткого клоуна с сообщением о выкупе, ссылкой на сайт оплаты и заменяет обои рабочего стола аналогичным сообщением. Эта версия Halloware также не оставляет текстовые записки о выкупе.

 Скриншоты этой версии Halloware из статьи на сайте BC


Часть скриншота с продающего сайта (адрес скрыт)

Версия Halloware с реализованным шифрованием продаётся в Даркнете за 40 долларов. Всё, что нужно сделать покупателю, это заменить два изображения и добавить свой сайт с помощью настраиваемой формы для URL-адреса сайта.
---

Обновление от 3 декабря 2017:
Email не менялся: tncybersquard@torbox3uiot6wchz.onion


Halloware переместил сайт 
продажи на новый Tor-адрес, получил редизайн страницы  и добавил немного жуткой музыки.

Обновление от 3 декабря 2018: 
Файлы: bill.exe, Bill_Details.docx.exe
URL: lucifer9706.5gbfree.com (209.90.88.135:80 США)
xxxx://lucifer9706.5gbfree.com/hma_vpn_crecked.exe***
xxxx://maxclassic.5gbfree.com/fu/negud.exe***
xxxx://newew.whatisthis988.5gbfree.com/new.zip***
xxxx://paypalload.5gbfree.com/***
xxxx://bankofamerlca.ga/***
Результаты анализов: HA

Обновление от 27 декабря 2017:
Пост в Твиттере >>
Tor-URL: xxxp://j3t2jilixktibqof.onion
Email: blackpanda007@torbox3uiot6wchz.onion
Содержание текста: 
Your Data Have Been Encrpyted. 
If You Need Your Data Back You Need To 
Pay Us $300 Dollar
Contect: torbox3uiot6wchz.onion create a account here and email us blackpanda007@torbox3uiot6wchz.onion
Your Data Is Safe When You Pay Us We Will Give You Key And You Can Unencrpyt Your Data


Скриншот с onion-сайта. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Halloware)
 Write-up, Topic of Support
 *
 Added later:
Write-up on BC
*
 Thanks: 
 Roland Dela Paz‏, dev halloware
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 31 октября 2017 г.

Scarab-Jackie

Scarab-Jackie Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Jackie Chan. На файле написано: Manager_Agent.old.exe и Manager_Agent.exe

© Генеалогия:  Scarab > Scarab-Jackie

К зашифрованным файлам добавляется расширение .[Jackie7@asia.com]
Шаблон можно записать так: .[email]
Сами файлы переименовываются с помощью Base64. 

Примеры зашифрованных файлов: 
3geBKTm1xU3=IH6q6JIJGx7Tp6HZAnX8beI.[Jackie7@asia.com]
Aty7HN=sAoq0EwKi=N9RC0EfRmdoeowL.[Jackie7@asia.com]
cDqsTYg0IsByvxqbia0HUydL43m2r76+TB=1OCQz.[Jackie7@asia.com]
9diZ3uLI569RuzS1IR+JBhbceHiTCp==.[Jackie7@asia.com]
YFTEPFcrsYsBzQ23ksfXXIS96L3b0wfbQrE.[Jackie7@asia.com]
Вымогатели прикрываются именем Джекки Чана

Активность этого крипто-вымогателя пришлась на конец октября - ноябрь - декабрь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: INSTRUCTION FOR DATA RECOVERY.TXT

Видимо некую запугивающую роль играет изображение, которое загружается по одной из коротких ссылок:


Содержание записки о выкупе:
Your personal ID
AAAAAAABRSCtIJZ***
* No data from your computer has been stolen or deleted.
* Follow the instructions to restore the files.
* How to get the automatic decryptor:
1) Contact us by e-mail: Jackie7@asia.com. In the letter, indicate your personal identifier (look at the beginning of this document) and the external ip-address of the computer on which the encrypted files are located.
2) After answering your request, our operator will giue you further instructions that will show what to do next (the answer you will receive as soon as possible)
** Send a copy of the letter to Second email address : Jchan@india.com
* Free decryption as guarantee?
Before paying you can send us up to 5 files for free decryption.
The total size of files must be less than 5 Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
ATTENTION!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
* If you do not receive a reply within 24 hours, create an account on Gmail.com and try again.

Перевод записки на русский язык:
Ваш личный идентификатор
AAAAAAABRSCtIJZ ***
* Данные с вашего компьютера не украдены или удалены.
* Следуйте инструкциям по восстановлению файлов.
* Как получить автоматический декриптор:
1) Свяжитесь с нами по email: Jackie7@asia.com. В письме укажите свой личный идентификатор (смотрите начало этого документа) и внешний ip-адрес компьютера, на котором находятся зашифрованные файлы.
2) После ответа на ваш запрос наш оператор даст вам дальнейшие инструкции, которые покажут, что делать дальше (ответ вы получите как можно скорее)
** Отправьте копию письма на второй email-адрес: Jchan@india.com
* Бесплатное дешифрование в качестве гарантии?
Перед оплатой вы можете отправить нам до 5 файлов для бесплатного дешифрования.
Общий размер файлов должен быть менее 5 Мб (без архивирования), а файлы не должны содержать ценную информацию (базы данных, резервные копии, большие листы Excel и т. Д.).
ВНИМАНИЕ!
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровывать свои данные чужими программами, это может привести к безвозвратной потере данных.
* Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.
* Если вы не получили ответ в течение 24 часов, создайте учетную запись на Gmail.com и повторите попытку.



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Также может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
 cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP
 wbadmin.exe wbadmin DELETE SYSTEMSTATEBACKUP
 cmd.exe /c wmic SHADOWCOPY DELETE
 WMIC.exe wmic SHADOWCOPY DELETE
 cmd.exe /c vssadmin Delete Shadows /All /Quiet
 vssadmin.exe vssadmin Delete Shadows /All /Quiet
 cmd.exe /c bcdedit /set {default} recoveryenabled No
 bcdedit.exe bcdedit /set {default} recoveryenabled No
 cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
 bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures

Затем оставляет записки о выкупе и открывает перед жертвой одну их них командами: 
 cmd.exe /c start /max notepad.exe "%USERPROFILE%\INSTRUCTION FOR DATA RECOVERY.TXT"
 notepad.exe %USERPROFILE%\INSTRUCTION FOR DATA RECOVERY.TXT"

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INSTRUCTION FOR DATA RECOVERY.TXT
Manager_Agent.exe
Manager_Agent.old.exe
picture-13-18.jpg
Meeting Holland and Barrett 19.10.17.docx.[Jackie7@Asia.Com]

Расположения:
%USERPROFILE%\INSTRUCTION FOR DATA RECOVERY.TXT"
C:\Users\user\AppData\Roaming\Manager_Agent.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Jackie7@asia.com and Jchan@india.com
Связанные URL: xxxx://www.yip[.]su/ - опасный сайт, потому [.]
xxxxs://yip[.]su/2w3t45  >> xxxxs://cache.eremnews.com/wp-content/uploads/2016/08/13-18.jpg
xxxx://iplogger.com/  (88.99.66.31:80 Германия)
xxxxs://iplogger.com/2Y9P65 >> xxxxs://www.google.com.sa/webhp?hl=ar (Саудовская Аравия, арабский язык)
xxxxs://2no.co/3ixuB3.csv
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Гибридный анализ на файл Word-документа - 15.11.17 >>
VirusTotal анализ на файл Word-документа - 15.11.17 >>
JoeSandbox анализ и PDF-отчёт >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):

Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018

Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
и другие


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov
 Michael Gillespie
 (victim in the topics of support)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

MBR-ONI

ONI Ransomware

MBR-ONI Ransomware

(шифровальщик-вымогатель, MBR-модификатор)


Этот крипто-вымогатель шифрует данные пользователей с помощью DiskCryptor и шифров AES-256 + RSA-2048, а затем требует связаться по email, чтобы уплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле написано: ONI.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .oni

Ранняя активность этого крипто-вымогателя пришлась на начало июля, как вариант GlobeImposter. Другой вариант, модифицирующий MBR, был описан в конце октября 2017 г. Ориентирован на японских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!README!!!.html
MBR-ONI Ransomware

Содержание записки о выкупе:
重要な情報!
すべてのファイルは、RSA-2048およびAES-256暗号で暗号化されています。
心配しないで、すべてのファイルを元に戻すことができます。
すべてのファイルを素早く安全に復元できることを保証します。
ファイルを回復する手順については、お問い合わせ。
信頼性を証明するために、2ファイルを無料で解読できます。ファイルと個人IDを私たちにお送りください。
(ファイルサイズ10MB未満、機密情報なし)
連絡先
hyakunoonigayoru@yahoo.co.jp

Перевод записки на русский язык:
Важная информация!
Все файлы зашифрованы с помощью RSA-2048 и AES-256 шифров.
Не волнуйтесь, вы можете восстановить все файлы.
Мы гарантируем, что все файлы можно безопасно восстановить быстро и безопасно.
Для получения инструкций по восстановлению файлов свяжитесь с нами.
Чтобы доказать надежность, вы можете бесплатно расшифровать два файла. Отправьте нам файл и персональный идентификатор.
(Размер файла менее 10 МБ, без конфиденциальной информации)
Контактный адрес
hyakunoonigayoru@yahoo.co.jp


Другим информатором жертвы выступает краткий текст, выводящийся после перезаписи MBR.

Содержание текста:
Your data is ENCRYPTED!
You will not decrypt it without our help? Your id: ***
Contact us: oninoy0ru@***
PASSWORD: _

Перевод текста на русский язык:
Ваши данные ЗАШИФРОВАНЫ!
Вы не сможете расшифровывать их без нашей помощи? Ваш id: ***
Связь с нами: oninoy0ru@***
ПАРОЛЬ: _

Исследователи выяснили, что большинство компьютеров были инфицированы простой версией ONI. Вариант MBR-ONI наблюдался только на нескольких машинах. Эти машины определённо имели серверную службу Active Directory и другой набор активных серверных служб. 

У компьютеров, заражённых вариантом MBR-ONI, кроме того, отображалась одна и та же записка о выкупе с одинаковым идентификатором для всех зараженных машин. У компьютеров, заражённых вариантом ONI генерировался уникальный идентификатор для каждой машины. 



Технические детали

MBR-ONI может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

По данным исследователей заражению компьютеров предшествовала вредоносная кампания копьё-фишинга, в результате которой на компьютеры жертв устанавливались трояны, открывающие удалённый доступ или средство удалённого управления (RAT), в частности, утилита Ammyy Admin. 

Ammyy Admin загружается и запускается на выполнение скриптом (VBScript), запускающимся после включения получателем письма макросов в документе MS Word, находящимся во вложенном в письмо zip-архиве. 

 Для шифрования используется модифицированная версия DiskCryptor. 
✔ Для удалённого проникновения использовалась утилита Ammyy Admin. 
✔ Зачистка журналов вымогателем может свидетельствовать о том, что злоумышленники также использовали эксплойт EternalBlue в сочетании с другими инструментами для распространения по всей сети скомпрометированной компании. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускаются следующие директории:
COMODO
ESET
Microsoft
Microsoft Help
Windows
Windows App Certification Kit
Windows Defender
Windows Kits
Windows Mail
Windows Media Player
Windows Multimedia Platform
Windows NT
Windows Phone Kits
Windows Phone Silverlight Kits
Windows Photo Viewer
Windows Portable Devices

Файлы, связанные с этим Ransomware:
oni.exe (srvupd.exe) - исполняемый файл вымогателя
xcopy.exe - копия исполняемого файла
!!!README!!!.html - записка о выкупе
qfjgmfgmkj.tmp - специальный временный файл
clean.bat - файл для очистки журналов и данных о присутствии
test.bat - вспомогательный файл для копирования

Расположения:
%Temp%\qfjgmfgmkj.tmp - специальный файл, запрещающий повторную установку данного шифровальщика. 

🚩Возможно, что файл qfjgmfgmkj.tmp можно создать заранее и тем самым защититься от атаки этого шифровальщика. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: hyakunoonigayoru@yahoo.co.jp
oninoy0ru@yahoo.co.jp
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ (GlobeImposter вариант) >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Cylance blog
 Cybereason blog
 BleepingComputer
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 27 октября 2017 г.

XiaoBa

XiaoBa Ransomware

(шифровальщик-вымогатель, деструктор)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 1200 юаней = 180,81$ в BTC, чтобы вернуть файлы. Оригинальное название: XiaoBa. На файле написано: xiaoba.exe. Написан на языке FlyStudio. 

© Генеалогия: XiaoBa > XiaoBa 2.0

К зашифрованным файлам добавляются расширения от .XiaoBa1 до .XiaoBa34

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на китайских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
_@XiaoBa@_.bmp
_@Explanation@_.hta


Содержание записки о выкупе:
Ooops, your important files have been encrypted!
!------ 重要加密 ------ !
你柏所有文件已被 RSA-2048 AES-128 算法進行了加密
請硕縦破解  , 因為您無  眷破解文件可能導致文壊 這可能會損害他們
只有我們的解密辦捕解密您的文件
如果您看到這個壁紙卻看不到 “XiaoBa” 窗口 , 那麼就是您的防病毒軟件    
刪除了此解密軟件或葡恣從計算機中刪除了它
如果您需要您的文件I必須運行解密軟件
請找到解密軟件或從防病毒軟件隔雜區還原
運行解密軟件 , 並按照說明進行操作
請向指定地址發送約1200元人民幣=180.81$的比特幣
比特幣錢包:1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB
想獲取更多信息請點擊桌面的 _@Explanation@_.hta
E-mail:B32588601@163.com

Перевод записки на русский язык:
Упс, все ваши важные файлы зашифрованы!
!------ Важные файлы зашифрованы ------ !
Все файлы зашифрованы с алгоритмами RSA-2048 AES-128
Попробуйте взломать, но вы не вернете файлы, это приведет к тому, что текст может быть повреждён.
Только наше дешифрование может вернуть ваши файлы. 
Если вы видите эти обои, но не видите окно "XiaoBa", то ваша антивирусная программа поместила эту программу в карантин или удалила с компьютера.
Если вам нужны файлы, то вы должны заново запустить нашу программу для дешифрования.
Найдите нашу программу для дешифрования или восстановите её из карантина антивируса.
Запустите программу дешифрования и следуйте инструкциям.
Пожалуйста, отправьте около 1200 юаней = 180,81$ в биткоинах на указанный адрес BTC-кошелька: 1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB
Для получения информации найдите на рабочем столе файл _@Explanation@_.hta
E-mail: B32588601@163.com


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Создает множество процессов. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, удаляет точки восстановления командой:
cmd /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

➤ Зашифрованные файлы повреждаются. Уплата выкупа бесполезна!

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_@XiaoBa@_.bmp
_@Explanation@_.hta
xiaoba.exe
AutoRunApp.vbs

Расположения:
\Desktop\_@Explanation@_.hta
C:\AutoRunApp.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: http://baidu.com
http://tieba.baidu.com
http://wenku.baidu.com
http://xueshu.baidu.com
http://zhidao.baidu.com и другие
Email: B32588601@163.com
BTC: 1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  VT+
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 4 ноября 2017:
Сумма выкупа: 250 RMB (китайские юани) = $37.696 в BTC
Email: B32588601@163.com
BTC: 1NodpehhyEnJZUE3vsGXHm8RYLfydMZkv4

Экран пользователь блокируется. 
Результаты анализов: HAVT
<< Скриншот с требованиями выкупа




Обновление от 18 ноября 2017:

Пост в Твиттере >>
Сумма выкупа: 0.1 BTC
Email: TheYuCheng@yeah.net
BTC: 17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6
Результаты анализов: VT
<< Скриншот с требованиями выкупа
См. статью Want Money Ransomware >>


Обновление от 24-27 февраля 2018:
Пост в Твиттере >> + Tweet
Расширение: .Encrypted[BaYuCheng@yeah.net].XiaBa
Записка: _XiaoBa_Info_.hta
Email: BaYuCheng@yeah.net
Результаты анализов: VB + VT + VT

 



Обновление от 17 апреля 2018:
➤ Теперь XiaoBa присоединяет майнер coinminer к исполняемым файлам (.exe, .com, .scr, .pif) на всём жестком диске, включая основные папки операционной системы. После этого запуск любого из заряженных таким образом исполняемых файлов запускает только coinminer, а не само приложение. Это приводит к проблемам, при которых Windows не сможет загрузиться.
➤ XiaoBa также внедряет (инжектирует) скрипт Coinhive во все файлы HTML и HTM, а также удаляет все файлы с расширениями .gho и .iso, которые часто используются в антивирусных образах Live-CD/DVD (например, Norton Ghost использует файлы с расширением .gho, а Kaspersky Rescue Disk использует .iso)


➤ 
Другой вариант XiaoBa тоже инжектирован, но также содержит 32-битную и 64-битную версию майнера XMRig.
Подробности в статье от TrendMicro. 


Обновление от 5 июня 2018:
Пост в Твиттере >>
Расширение: .AdolfHitler
Email: BaYuCheng@yeah.net
Записка-изображение: # # DECRYPT MY FILE # #.bmp
Файл: New Folder.exe
Результаты анализов: VT





Обновление от 15 марта 2020:
Пост в Твиттере >>
Результаты анализов: VT + VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as XiaoBa)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *