Если вы не видите здесь изображений, то используйте VPN.

пятница, 17 ноября 2017 г.

WannaDie

WannaDie (WanaDie) Ransomware

WannaCry Imposter Ransomware

Wanna_die_decrypt0r Ransomware

(шифровальщик-вымогатель, подражатель, деструктор)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+SHA-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Wana die decrypt0r (Wanna die decrypt0r) и Wana_Decrypt0r. На файле написано: wndi и wndi.exe. Начальное название проекта: CryptoWall. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: WannaCry > fake! > WannaCry Imposter 


Изображение принадлежит шифровальщику

Этимология названия:
Как видно из представленных выше названий, сам разработчик вымогателя так и не определился с названием, т.к. сначала он назвал его CryptoWall, желая создать творение, подобное ему. Потом по миру нашумел вымогатель WannaCry, и разработчик захотел творить в эту сторону, но и этот шифровальщик заглох в эфире. Тогда разработчику WannaDie совсем некому стало подражать (ну не BadRabbit-у же, который и дня не продержался!) и он решил выплеснуть накопившуюся энергию в нечто сумбурное. Уж тогда бы лучше назвал свое творение просто WannaMoney. Оно пока не занято другими вымогателями. 😉

К зашифрованным файлам добавляется расширение .wndie

Исследователи также сообщают о неудачных случаях шифрования. Видимо, пока в разработке, или имеет скрытый функционал. 

Активность этого крипто-вымогателя обнаружена в середине ноября 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступают экран блокировки и изображение, заменяющее обои рабочего стола, на котором написан другой текст на русском языке и небольшой текстовый файл с надписью на английском.
Комбинированное изображение требований

Окно экрана блокировки
Требования на обоях на Рабочего стола и файлы

Содержание текста о выкупе из окна экрана блокировки:
Файлы зашифрованы, что делать?
ЧТО СЛУЧИЛОСЬ С МОИМ КОМПЬЮТЕРОМ ?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, поскольку они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
МОЖНО ЛИ ВОССТАНОВИТЬ ФАЙЛЫ ?
Конечно Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у нас не так много времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать "Расшифровать".
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
Каждую минуту мы будем уничтожать по одному нужному вам файлу, чтобы ускорить процесс (оплата-дешифровка).
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течении 7 дней, вы не сможете восстановить файлы навсегда.
У нас будут бесплатные мороприятия для пользователей, которые настолько бедны, что не смогут заплатить за 6 дней.
КАК МНЕ ОПЛАТИТЬ  ?
Оплата принимается только в биткоинах. Для дополнительной информации нажмите "Что такое биткоин?".
Пожалуйста, проверьте текущую цену биткоинов и переведите биткоины на указанную сумму. Для перевода средств нажмите "Перечислить биткоины".
И отправьте правильную сумму на адрес, указанный в этом окне. 
После перевода свяжитесь с консультантом и передайте чек с оплатой.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Мы настоятельно рекомендуем вам не удалять это программное обеспечение и некоторое время отключать антивирус, пока вы не заплатите и не обработаете платеж.
Если ваш антивирус обновится и автоматически удалит это программное обеспечение, он не сможет восстановить ваши файлы, даже если вы заплатите!
С уважением, Wana Die
---
[1Dowv8DTWhRk6xQmuWrEDipgCc83VTKbYT] [Копировать]
[Введите ключ расшифровки]
[Расшифровать]
---
Оплата будет повышена
Времени осталось
02:7:38:43
---
Ваши файлы будут утеряны
Времени осталось
06:22:45:23
---
Утеря важного файла
Времени осталось
00:0:01:03
---
Что такое биткоин?
Перечислить биткоины
Связаться с помощью
---

Красным выделены ошибки и неправильные речевые обороты, неприсущие правильной русской речи. 😄

Содержание текста о выкупе с изображения на экране:
Ууупс, ваши важные файлы зашифрованы.
Если вы читаете этот текст, но не видите окно "Wanna die decrypt0r", то тогда ваш антивирус удалил дешифратор. Отключите антивирусное программное обеспечение или удалите его с вашего компьютера.
Если вам нужны ваши файлы, вы должны запустить дешифратор программу.
Пожалуйста, найдите файл приложения с именем "@WannaDecrypt0r.exe" в любой папке или восстановите из антивирусного карантина.
Запустите и следуйте инструкциям!

Дополнение
Нижний блок "Утеря важного файла" сообщает об удалении первого стоящего файла. И это не пустые угрозы, файлы действительно удаляются по одному. Таким образом данный вымогатель ещё и выполняет деструктивные действия. 



Технические детали

Судя по глупым ошибкам в тексте о выкупе данный вымогатель или ещё находится в разработке или настолько плохо сделан. Хотя, намеренные ошибки и баги вполне могут быть отвлекающим манёвром, чтобы под прикрытием вымогательства воровать необходимую информацию. Уплата выкупа бесполезна!

Вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует Windows-программу wscript.exe для запуска инфекции. 

При алгоритме AES как ключ шифрования используется SHA256-хэш, которой берётся от исходного пароля, от строки из 8 символов. 

Кажется интересуется содержимым файлов со следующими расширениями:
.dotx, .html, .keychain, .pptx, .tax2014, .tax2015, .xlsb, .xlsm, .xlsx, .xltm, .xltx.  

Из них примечателен интерес к файлам типа .keychain (Mac OS X Keychain File) и .tax2014, .tax2015 (TurboTax). 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .csv, .dat, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dt, .DT, .dt, .ged, .hbk, .hbk, .htm, .html, .key, .keychain, .md, .pps, .ppt, .pptx, .sdf, .tar, .tax2014, .tax2015, .txt, .vcf, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml (41 расширение).
Это документы и шаблоны MS Office, файлы 1С, текстовые файлы, веб-страницы, базы данных, файлы специализированных программ и пр.

Файлы, связанные с этим Ransomware:
wndi.exe
ReadMe.txt
@WannaDecrypt0r.exe 
Wana_Decrypt0r.exe
@WannaDecrypt0r.png
proc.bat
pros.vbs
perfc.dat
perfd.dat
index.dat
ms.lnk
a.wndi
d.wndi
t.wndi

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\proc.bat
C:\pros.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1Dowv8DTWhRk6xQmuWrEDipgCc83VTKbYT
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> или VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as WannaDie)
 Write-up, Topic of Support
 🎥 Video review
 Thanks: 
 Leo (primary example and images)
 Alex Svirid (extensions and consultation)
 Michael Gillespie (identification in IDR)
 GrujaRS (video review, full ransom text and desktop)
 

© Amigo-A (Andrew Ivanov): All blog articles.

BASS-FES

BASS-FES Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> BASS-FES

Этимология названия:
BASS-FES — сокращение от BitchASS File Encryption System, см. содержание записки о выкупе.  

К зашифрованным файлам добавляется расширение .basslock

Активность этого крипто-вымогателя пришлась на середину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: BASS File Encryption Service Notice.txt

Содержание записки о выкупе:
File Recovery Notice by BitchASS File Encryption System (BASS-FES)
Your files have been successfully encrypted and backuped in the cloud storage by BASS File Encryption System.
If you want to recover your files, please send 1 BTC to the following adress:
18Cgi9ADqH9NsG6zqW2xEh7wl6dQM6Rvix
If you sent 1 BTC to the adress, email at bitchasshole@protonmail.com with your Bitcoin adress.

Перевод записки на русский язык:
Уведомление о восстановлении файлов с помощью системы шифрования файлов BitchASS (BASS-FES)
Ваши файлы были успешно зашифрованы и сохранены в облачное хранилище с помощью BASS File Encryption System.
Если вы хотите восстановить свои файлы, отправьте 1 BTC по следующему адресу:
18Cgi9ADqH9NsG6zqW2xEh7wl6dQM6Rvix
Если вы отправили 1 BTC на адрес, напишите на bitchasshole@protonmail.com свой биткоин-адрес.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
BASS File Encryption Service Notice.txt

Расположения:
\Desktop\BASS File Encryption Service Notice.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bitchasshole@protonmail.com
BTC: 18Cgi9ADqH9NsG6zqW2xEh7wl6dQM6Rvix
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CorruptCrypt

CorruptCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название проекта: Crypt
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляются расширения
.acryhjccbb@protonmail.com
.corrupt 

Активность этого крипто-вымогателя пришлась на середину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: *нет данных*
Вместо записки на файлах стоит расширение с email вымогателей. 

Содержание записки о выкупе:
acryhjccbb@protonmail.com

Перевод записки на русский язык:
acryhjccbb@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После шифрования заполняет мусором свободное место дисков. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Crypt.exe
CRYPT32.dll

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: acryhjccbb@protonmail.com
См. ниже результаты анализов.

Связанные публичные ключи:
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBAJ/pgAk5IFg+97WOlgPOr7D77xhWgBMj9gKL9EplpCT6XZl+hRCDSqtit+TN6g5r+p3lUuNNO8cSDBeeUNcx+j69KDGixTEM5lcxMGokY5WK/krZAG+TwDXCLiTy26j/s5bJrb0e9x9q9STdhdpXZgV7xXqyxpmM1xVaYN2Oo2RfAgMBAAE=
-----END RSA PUBLIC KEY-----

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CorruptCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 16 ноября 2017 г.

Rastakhiz

Rastakhiz Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Rastakhiz

К зашифрованным файлам добавляется расширение .RASTAKHIZ 

Активность этого крипто-вымогателя пришлась на середину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется:
Запиской с требованием выкупа выступает экран блокировки:
Экран блокировки
Текст из ресурса экрана блокировки

Содержание текста о выкупе из экрана блокировки:
I have encrypted all your precious files including images, videos, songs, text files, word files and e.t.c. So long story short, you are screwed ... but you are lucky in a way. 
Why is that ?? I am ransomware that leave you an unlimited amount of time to gather the money
to pay me. I am not gonna go somewhere, neither do your encrypted files.
FAQ:
1. Can i get ray precious files back?
Answer: Ofcourse you can. There is just a Minor detail. You have to pay to get them back.
2. Ok, how i am gonna get them back?
Answer: You have to pay 256 USD in bitcoin.
3. There isn't any other way to get back my files?
Answer: No.
4. Ok, what i have to do then?
Answer: Simply, you will have to pay 250 USD to this bitcoin address: [bitcoin address] . When time comes to send me the money, make sure to include your e-mail and your personal lD(you can see it bellow) in the extra information box (it may apper also as 'Extra Mote" or 'optional message') in order to get your personal decryption key. It may take up to 6-8 hours to take your personal decryption key.
5. What the heck bitcoin is?
Answer: Bitcoin is a cryptocurrency and a digital payment system. I recommend to use 'Bitcoin wallet' as a bitcoin wallet, if you are new to the bitcoin-wallet. Ofcourse you can pay me from whatever bitcoin wallet you want, it deosn't really matter.
6. Is there any chance to unclock my files for free?
Answer: Not really. After 1-2 or max 3 years there is propably gonna be released a free decryptor. So if you want to wait ... it's fine.
As i said, i am not gonna go somewhere.
7. What i have to do after getting my decryption key?
Answer: simple. Just press the decryption button bellow. Enter your decryption key you received, and wait until the decryption process is done.
8. How can i trust?
Answer: Don't worry about decryption, we will decrypt your files surely because nobody will trust us if we cheat users.
Attention:
Do not change the name of the crypto files or extensions!
Your personal ID : [ID]
Bitcoin address : [bitcoin address]
-----
Info
Bitcoin Address: 1Q5VprvKoBmPBncC7yZLURkcQ7FG9xnMKv
About Bitcoin
Buy Bitcoin
---
[Copy Personal ID]
[Copy The Bitcoin Address]
[DECRYPT]
TIME TO LOSE YOUR KEYS : 2017.11.18. 20:24:01

Перевод текста на русский язык:
Я зашифровал все ваши драгоценные файлы, включая изображения, видео, песни, текстовые файлы, Word-файлы и пр. Короче говоря, вы взломаны ... но вам повезло.
Почему это ?? Я - выкуп, который дает вам неограниченное количество времени, чтобы собрать деньги заплатить мне. Я не пойду куда-то с вашими зашифрованными файлами.
ВОПРОСЫ-ОТВЕТЫ:
1. Могу ли я вернуть драгоценные файлы Ray?
Ответ: Конечно, вы можете. Есть только незначительная деталь. Вы должны заплатить, чтобы вернуть их.
2. Хорошо, как я их верну?
Ответ: Вы должны заплатить 256 долларов в биткойне.
3. Нет другого способа вернуть мои файлы?
Ответ: Нет.
4. Хорошо, что я должен сделать тогда?
Ответ: Просто вам придется заплатить 250 долларов на этот биткойн-адрес: [биткойн адрес]. Когда придет время отправить мне деньги, не забудьте включить свой email и свой личный lD (вы можете увидеть его ниже) в дополнительное информационное окно (он может также быть включен как 'Extra Mote' или 'optional message') в чтобы получить свой личный ключ дешифрования. Для получения вашего личного ключа дешифрования может потребоваться до 6-8 часов.
5. Что такое биткоин?
Ответ: Биткоин - это криптовалюта и цифровая платежная система. Я рекомендую использовать «Биткоин-кошелек» как кошелек с биткоинами, если вы новичок в биткоин-кошельке. Конечно, вы можете заплатить мне с любого биткоин-кошелька, который вы хотите, это действительно неважно.
6. Есть ли шанс разблокировать мои файлы бесплатно?
Ответ: Не совсем. После 1-2 или максимум 3 лет можно получить бесплатный дешифратор. Поэтому, если вы хотите подождать ... все в порядке.
Как я уже сказал, я никуда не уйду.
7. Что мне нужно сделать после получения ключа дешифрования?
Ответ: простой. Просто нажмите кнопку дешифрования ниже. Введите полученный ключ дешифрования и дождитесь завершения процесса дешифрования.
8. Могу ли я доверять?
Ответ. Не волнуйтесь о расшифровке, мы обязательно расшифруем ваши файлы, потому что никто не будет доверять нам, если мы будем обманывать пользователей.
Внимание:
Не изменяйте имена зашифрованных файлов или расширений!
Ваш личный ID: [ID]
Биткоин-адрес: [биткоин-адрес]
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe - исполняемый файл вымогателя
DoNotDelete.RASTAKHIZ - файл, необходимый для работы декриптера
RASTAKHIZ Decrypt0r.exe - файл декриптера

Расположения:
%AppData%\DoNotDelete.RASTAKHIZ

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1Q5VprvKoBmPBncC7yZLURkcQ7FG9xnMKv
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 Karsten Hahn
 

© Amigo-A (Andrew Ivanov): All blog articles.

WannaSmile

WannaSmile Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные предприятий и организаций с помощью AES/RSA, а затем требует выкуп в 20 BTC, чтобы вернуть файлы. Оригинальное рабочее название проекта: MyEncrypter2Mod3Window_V1.1 и MyEncrypter2. На файле написано: WannaSmile.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: ZCrypt >> WannaSmile

К зашифрованным файлам добавляется расширение .WSmile

Активность этого крипто-вымогателя пришлась на середину  ноября 2017 г. Ориентирован на предприятия и организации Ирана, ираноязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: How to decrypt files.html

Содержание записки о выкупе (реконструкция текста от автора блога):
WARNING!
سیستم شما به ویروس و باج افزارWannaSmile آلوده شده است؛ تمامی فایل های مهم شما از جمله دیتابیس ها
فایل های بک آپ و ... توسط الگوریتم های پیچیده رمزنگاری شده است؛
بنابراین شما امکان دسترسی به فایل ها را نخواهید داشت زیرا الگوریتم رمزنگاری مورد نظر تنها توسط ما قابل رمزگشایی
درصورتیکه طی مدت حداکثر 5 روز پس از آلوده شدن مبلغ مورد نظر به حساب بیت کوین ما واریز نشود، روزانه مبلغ 1 بیت کوین به مبلغ اصلی (20 بیت کوین) اضافه میگردد.
تو ی باشد. شما می بایست برای رمزگشایی فایلهای خود مبلغ 20 بیت کوین را به آدرس زیر ارسال کنید:
1KvmWVRxqw8HeFpR2tHBaoTJiTczU7PRzw
و به محض پرداخت موفقیت آ 05;یز بیت کوین حتما از طریق ایمیل wannasmile@tuta.io به ما اعلام کنید تا یک فایل برای شما ارسال گردد که توسط آن می توانید کل فایل ها و سیستم های آلوده را به حالت اولیه باز گردانید.
 جهت خرید بیت کوین می توانید از طریق یکی از صرافی های زیر اقدام نمایید
www.exchanging ir
www.payment24.ir
www.farhadexchange.net
www.digiarz.com

Дословный перевод записки на русский язык сделан автором блога:
WARNING! 
Ваша система заражена вирусом WannaSmile Ransomware, все ваши важные файлы, включая базы данных и резервные копии зашифрованы сложными алгоритмами шифрования, поэтому вы не сможете получить доступ к файлам, только мы можем расшифровать.
В случае, если мы не получаем плату на наш биткоин-кошелек максимум за 5 дней после заражения, то ежедневно к первоначальной сумме (20 биткоин) будет добавляться по 1 биткоину.
Вы должны заплатить сумму в 20 биткоинов, чтобы расшифровать ваши файлы, по следующему адресу:
1KvmWVRxqw8HeFpR2tHBaoTJiTczU7PRzw
И как только вы заплатите, не забудьте отправить нам письмо по адресу wannasmile@tuta.io, чтобы мы отправили вам файл, с котором вы сможете восстановить все файлы и зараженные системы в исходное состояние. 
Вы можете купить биткоины на одном из следующих обменников валюты:
www.exchanging.ir
www.payment24.ir
www.farhadexchange.net
www.digiarz.com


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to decrypt files.html
WannaSmile.exe или client.exe
WannaSmile.lnk

Расположения:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\How to decrypt files.html
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\WannaSmile.lnk
%APPDATA%\WannaSmile.exe
%APPDATA%\public.key

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: wannasmile@tuta.io
BTC: 1KvmWVRxqw8HeFpR2tHBaoTJiTczU7PRzw
URL: www.exchanging.ir
www.payment24.ir
www.farhadexchange.net
www.digiarz.com

См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WannaSmile)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

0000 CryptoMix

0000 CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> CryptoMix Revenge > 0000 CryptoMix

К зашифрованным файлам добавляется расширение .0000 

Примеры зашифрованных файлов:
1EE966A41E2E176636A25E2E2084FBDA.0000
228C0FA00BA96590EE81B77C0E004A04.0000
F06C3C509054X0B7D28ZCDDBB17087B9C3E.0000

Активность этого крипто-вымогателя пришлась на середину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
y0000@tuta.io
y0000@protonmai1. com
y0000z@yandex.com
y0000s@yandex.com
Please send email to all email addresses! we will help you as soon as possible!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Привет!
Все Ваши данные зашифрованы!
Для подробной информации отправьте нам email с Вашим ID номером:
y0000@tuta.io
y0000@protonmai1. com
y0000z@yandex.com
y0000s@yandex.com
Отправьте email на все email-адреса! Мы поможем Вам как можно быстро!
DECRYPT-ID-[id] number


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Выполняет деструктивные команды:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
y0000@tuta.io
y0000@protonmail.com
y0000z@yandex.com
y0000s@yandex.com
См. ниже результаты анализов.

Связанные публичные ключи:
Этот вариант также, как и предыдущие, содержит 11 общедоступных ключей RSA-1024, которые используются для шифрования AES-ключа, используемого для шифрования файлов жертвы. Это позволяет шифровальщику работать автономно без сетевого подключения. 
См. ключи в статье на сайте BC. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 13 ноября 2017 г.

Goofed HT Ransomware

Goofed HT Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: hidden-tear.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Goofed HT

К зашифрованным файлам добавляется расширение .goofed

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: YOU_DONE_GOOFED.txt

Содержание записки о выкупе:
Files has been encrypted with hidden tear
Send me $100 in bitcoin to 112eFWptVuBw9KzVZFvgx8ERnqYMsY6HLj
And email me at hiddentear@protonmail.com for your decryption key.

Перевод записки на русский язык:
Файлы были зашифрованы hidden tear
Пошли мне $100 в биткоине на 112eFWptVuBw9KzVZFvgx8ERnqYMsY6HLj
И мыль мне на hiddentear@protonmail.com для твоего ключа дешифрования.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
YOU_DONE_GOOFED.txt

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: hiddentear@protonmail.com
BTC: 112eFWptVuBw9KzVZFvgx8ERnqYMsY6HLj
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *