Если вы не видите здесь изображений, то используйте VPN.

четверг, 23 ноября 2017 г.

Cryp70n1c

Cryp70n1c Ransomware
Cryp70n1c Army Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: Cryp70n1c и CRYP70N1C ARMY. Название проекта: CRYPTONIC HACKING TOOLS и "hidden tear online with server". Разработчик: Clinton.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Cryp70n1c


Изображение принадлежит шифровальщику

К зашифрованным файлам добавляется расширение .cryp70n1c

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

1) Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
This computer has been hacked
Your personal files have been encrypted. Send us 0,05 Bitcoin to get the decryption passcode.
After that, you'll be able to get your files back again.
Failure to do so within 3 days will result in all your files being deleted & lost forever - visit www.luno.com to buy Bitcoin and once you have purchased 0.05 please send them to the following Bitcoin Address 1KDQcgujZKjMgZkYSbMJJpLeGSDqBwa1RM thank you and have a great day. If you need to contact us for any reason please e-mail us ransom@deliveryman.com 

Перевод записки на русский язык:
Этот компьютер взломан
Ваши личные файлы были зашифрованы. Отправьте нам 0,05 биткоина, чтобы получить пароль к дешифровке.
После этого вы сможете вернуть свои файлы.
Если вы не сделаете это в течение 3 дней, все ваши файлы будут удалены и потеряны навсегда - посетите сайт www.luno.com, чтобы купить биткоины, и как только вы приобрели 0.05, отправьте их на следующий биткоин-адрес 1KDQcgujZKjMgZkYSbMJJpLeGSDqBwa1RM и у вас будет отличный день. Если вам нужно связаться с нами по любой причине, пишите на наш email ransom@deliveryman.com 

2) Информатором жертвы так выступает экран блокировки а-ля Petya Ransomware, но с укрупненным текстом и расплытыми буквами.
Экран блокировки

Содержание текста с экрана: 
We are the Cryptonic Army
All data files have been locked and in 3 days they will be deleted unless you pay us
Please find the text file on your desktop for instructions

Перевод на русский язык:
Мы Cryptonic Army.
Все файлы данных заблокированы и через 3 дня они будут удалены, если вы не заплатите нам.
Найдите текстовый файл на вашем рабочем столе для инструкций.

3) Кроме того, с неким призывом выступает веб-сайт Cryp70n1c Army. 

Содержание призыва на веб-сайте:
CRYP70N1C ARMY
JOIN US AND TAKE CONTROL BACK
Join us today and help deface the government and all corrupt businesses. Firstly visit Proton-mail and open a Anonymous e-mail address then proceed to step two
ACCOUNT SIGNUP
Once your anonymous e-mail is registered proceed to sign up, make sure to choose a strong password and username that doesn’t tie you to anything. Our server doesn’t log your IP address so no need to access this site via VPN.
DOWNLOAD THE HACKING “STARTER PACK
Once you have successfully logged in find the footer section called “MORE” this is DDOS and MYSQL Injection software we built for you, we will be training you to use it via our learning center.
LAUNCH DATES & COMMUNICATION
You shall find the following sections once logged in, Launch Dates will be set 2 weeks prior to attack and attack targets will we given 15 minutes prior to live attack. All communication will be done via our live chatroom.
Cryp70n1c: Leader
AMAZING
It is a long established fact that majority always wins, power is essential and clearly our government has the upper hand. We are a core group of three experienced hackers which were responsible for the Julius Malema hack, several database dumps as well as defacing 3 government websites. But we need recruitment’s who are willing to join in on the hacks as we need more computational power.
SEE YOU ON THE DARKSIDE
***

Перевод призыва на русский язык:
CRYP70N1C ARMY
Присоединяйтесь к нам и верните контроль
Присоединяйтесь к нам сегодня и помогите дискредитировать правительство и все коррумпированные предприятия. Сначала посетите Proton-mail и откройте анонимный email-адрес, а затем перейдите к шагу 2
РЕГИСТРАЦИЯ АККАУНТА
Как только ваш анонимный email зарегистрирована, перейдите к нашей регистрации, убедитесь, что вы выбрали надежный пароль и имя пользователя, которое не привязывает вас ни к чему. Наш сервер не регистрирует ваш IP-адрес, поэтому вам не нужно обращаться к этому сайту через VPN.
ЗАГРУЗИТЬ ХАКЕРСКИЙ "STARTER PACK"
После того, как вы успешно вошли в систему, найдите нижний колонтитул под названием "MORE", это программа для DDOS и MYSQL инъекций, которое мы сделали для вас, мы будем обучать вас, как использовать его, через наш учебный центр.
ЗАПУСК ДАТЫ И СВЯЗЬ
После входа в систему вы найдете следующие разделы: Launch Dates будет установлен за 2 недели до атаки и целей атаки, которые мы давали за 15 минут до живой атаки. Все общение будет осуществляться через наш интерактивный чат.
Cryp70n1c: Лидер
УДИВИТЕЛЬНО
Это давно установленный факт, что большинство всегда побеждает, власть необходима, и ясно, что наше правительство имеет верх. Мы являемся основной группой из трех опытных хакеров, которые были ответственны за взлом Julius Malema, несколько дампов базы данных, а также за нарушение 3 правительственных веб-сайтов. Но нам нужны призывники, которые хотят присоединиться к хакам, поскольку нам нужно больше вычислительной мощности.
СМОТРИТЕ НА ТЕМНОЙ СТОРОНЕ
***


Скриншоты с сайта Cryptonic Army


  
 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Распространяется и позиционируется как хакерский инструмент PDF-Cracker-v2.0.1Есть даже инструкция по применению how-to-use-pdf-cracker.txt.
Содержание: 
Thank you for downloading PDF Cracker by Code-C
step 1: Open PDF cracker
step 2: Upload the .PDF you would like to crack
step 3: Click "Start Cracking"
step 4: Copy the hash-key after PDF cracker has found it
step 5: Paste the hash-key in the bruteforcer text block and click "find key"
After a few minutes you will see the PDF's Password :)
If you enjoyed this software please consider donating to me via paypal PDF-Cracker-V2

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Файлы, связанные с этим Ransomware:
PDF-Cracker-v2.0.1.exe (hidden-tear.exe)
how-to-use-pdf-cracker.txt
READ_IT.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://cryp70n1c.army/
Email: ransom@deliveryman.com
BTC: 1KDQcgujZKjMgZkYSbMJJpLeGSDqBwa1RM
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Это статья является 500-ой, из написанных в 2017 году!


среда, 22 ноября 2017 г.

QkG

QkG Ransomware

(шифровальщик-вымогатель, макро-вымогатель, макро-шифровальщик)


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: QkG, QkG@17! и QkG@PTM17! (так указано в записке). На файле написано: qkG. Разработчик: TNA-MHT-TT2 или TNA@MHT-TT2


Три скриншота с разными названиями

© Генеалогия: QkG. Начало. 

К зашифрованным файлам никакое расширение не добавляется. Названия файлов не меняются. 

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных и вьетнамских пользователей, что не мешает распространять его по всему миру.

Отдельной записки нет. Записка с требованием выкупа добавляется к содержимому документа.  
Записка о выкупе, которая отображается после шифрования документа

Содержание записки о выкупе:
I'm QkG@PTM17! by TNA@MHT-TT2
Send $300 to BTC Address: 14zA1NdTgtesLWZxtysLQQtsuKzjFbpydg
Contact Email: ***
7800320014003400580036001700380068003000

Перевод записки на русский язык:
Я есть QkG@PTM17! by TNA@MHT-TT2
Отправь $300 на BTC-адрес: 14zA1NdTgtesLWZxtysLQQtsuKzjFbpydg
Контактный Email: ***
7800320014003400580036001700380068003000



Технические детали

Исследователи из TrendMicro считают, что QkG — это экспериментальный проект или пруф-концепт (Proof-of-Concept, PoC), а не распространяемое вредоносное ПО. Это, однако, не делает QkG менее опасной угрозой. Поведение и методы QkG могут быть доработаны самим разработчиком или другими разработчики вредоносов. У раннего образца, отправленного на анализ в VirusTotal 12 ноября не было биткоин-адреса. Он появился только два дня спустя, а на следующий день был исследован другой образец QkG с другим поведением, при котором не шифровались документы с определённым форматом имени файла. Это говорит о том, что доработка QkG продолжается. 

Может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.



Подробности шифрования
Вредонос QkG заражает стандартный шаблон Microsoft Word, т.е. файл normal.dot. Если жертва разрешает макросы в документе, то именно к шаблону прикрепляется вредоносный макрос. 
Вредонос QkG полностью содержится в макросе. Потом он загружается и выполняется, когда пользователь закрывает вновь созданный или открытый документ Word. 
При первом закрытии файла с макросами, в шаблоне normal.dot изменяются несколько параметров безопасности Office, чтобы далее макросы уже выполнялись автоматически, а защищенный просмотр документов отключается. 


Вредоносный макрос, добавленный в шаблон normal.dot

Вредонос QkG скремблирует документ, производя шифрование содержимого документа с помощью XOR, но структура файла не повреждается и имя файла не изменяется. В папки пользователя не добавляется отдельная обычная записка о выкупе, т.к. вымогательский текст добавляется к содержимому документа. Это влияет на активные документы, поэтому только открытые документы будут зашифрованы. 

Содержимое вредоносного документа, предварительно очищенного антивирусом

Как только пользователь закроет свой документ, то содержимое файла MS Office зашифруется и перед пользователем отобразится сообщение с email-адресом и Bitcoin-адресом, а также зашифрованным контентом. Более того, если зараженный документ сохранить и открыть потом на незаражённом ПК, то цепочка заражения повторится. 

Для шифрования используется алгоритм XOR. Ключ шифрования всегда один и тот же и включен в каждый зашифрованный документ. 
Ключ дешифрования: "I’m QkG@PTM17! by TNA@MHT-TT2"

Суммируем: Что происходит при закрытии документа? 
1) Вредонос QkG изменяет настройки Office, разрешая программный доступ к объектной модели Office VBA (AccessVBOM) и деактивирует Защищенный просмотр (Protected View), чтобы макросы выполнялись автоматически и без запросов. Для этого QkG изменяет в реестре параметры: DisableAttachmentsInPV, DisableInternetFilesInPV и DisableUnsafeLocationsInPV. 
2) Вредоносный код QkG внедряется в шаблон Word-документов normal.dot – стандартный шаблон для всех документов Word. 
3) Содержимое всех документов на ПК жертвы шифруется при помощи XOR и в конец каждого документа добавляется сообщение с требованием выкупа.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office и совместимых приложений.

Файлы, связанные с этим Ransomware:
Tuyen bo chung Viet Nam - Hoa Ky.dotm
infected file normal.dot
<random>.LNK
index.dat
~$Normal.dotm
~WRS{random}.tmp
~$<random>.doc
New Microsoft Word Document.docx

Расположения:
%APPDATA%\Microsoft\Office\Recent\<random>.LNK
%APPDATA%\Microsoft\Office\Recent\index.dat
%APPDATA%\Microsoft\Templates\~$Normal.dotm
%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{random}.tmp
C:\~$<random>.doc
%USERPROFILE%\Desktop\New Microsoft Word Document.docx

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 14zA1NdTgtesLWZxtysLQQtsuKzjFbpydg
См. ниже результаты анализов.

Код разблокировки:
I'm QkG @ PTM17! By TNA @ MHT-TT2

Результаты анализов:
 VirusBuy анализ >>
VirusTotal анализ образца 2d*** >>
VirusTotal анализ образца 2e*** >>
VirusTotal анализ образца e6*** >>
Гибридный анализ >>

Образец 2d*** выполняет дешифрования, но не активирован в исходном коде QkG и потому не работает.  
В образце 2e*** процедура шифрования ещё не реализована, есть только комментарий списка дел QkG.  
Образец e6*** заражает не все файлы после их закрытия, исключаются файлы по времени создания.

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as qkG)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Jaromir Horejsi, BleepingComputer
 Michael Gillespie
 Andrew Ivanov (article author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Wanna Decryptor Portuguese

Wanna Decryptor Portuguese Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,0060 BTC, чтобы вернуть файлы. Оригинальное название: Wanna Decryptor. На файле написано: ransom.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: WannaCry > fake! > Wanna Decryptor Portuguese

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Seus Arquivos foram encriptados!
Oque aconteceu com meu computador?
Seus arquivos foram encriptados, todos eles foram encriptados e agora você não tem mais acesso à eles. Não procure uma forma de recuperar seus arquivos, você não vai conseguir.
Posso recuperar meus arquivos?
Claro, garantimos todos seus arquivos, ao menos que acabe o tempo você perderá todos eles, mas se você pagar você pode recuperar todos eles. Se você pagar nos primeiros 3 dias o preço será mais baixo, depois desses 3 dias o preço dobrará, e depois desses 3 dias seus arquivos serão deletados.
Como eu pago?
O pagamento é feito com bitcoin (Uma moeda virtual), você terá que comprar o necessário e enviar para a carteira logo abaixo. O pagamento terá o preço de 0,0060 Bitcoins nos primeiros 3 dias e depois disso 0,0120 Bitcoins. Depois do pagamento ser feito você terá que mandar um email comprovando sua compra e você receberá uma chave de desencriptação.
---
Você tem este tempo para efetuar o pagamento
Tempo Restante 7 dias
---
[1Pqi7AagXayJitfJRsSPGfY1wPgbrA3LrT]
Envie 0.0060 Bitcoins para essa carteira.
[Pagamento]   [Desencripte]

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Что случилось с моим компьютером?
Ваши файлы зашифрованы, все они зашифрованы, и теперь у вас больше нет доступа к ним. Не ищите способ восстановить ваши файлы, вы не сможете.
Могу ли я восстановить файлы?
Конечно, мы гарантируем вернуть все ваши файлы, если в конце времени вы не потеряете их всех, но если вы заплатите, вы сможете восстановить их все. Если вы платите за первые 3 дня, цена будет ниже, но после этих трех дней цена удвоится, и через эти 3 дня ваши файлы будут удалены.
Как я могу заплатить?
Платеж выполняется в биткоинах (виртуальная валюта), вам придется купить нужную сумму и отправить её на кошелек чуть ниже. Платеж будет стоить 0,0060 биткоинов за первые 3 дня, а затем 0,0120 биткоинов. После того, как платеж будет сделан, вам придется отправить email, подтверждающее вашу покупку, и вы получите ключ дешифрования.
---
У вас есть на этот раз платеж
Время. осталось 7 дней
---
[1Pqi7AagXayJitfJRsSPGfY1wPgbrA3LrT]
Отправить 0.0060 биткоинов на этот кошелёк.
[Оплата] [Расшифровка]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Если шифрование будет реализовано, то это вполне могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Файлы, связанные с этим Ransomware:
Shiguinima Launcher v3100.exe
ransom.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nkittybuggy8648@gmail.com
BTC: 1Pqi7AagXayJitfJRsSPGfY1wPgbrA3LrT
Сумма выкупа: 0.0060 BTC
См. ниже результаты анализов.

Код разблокировки: 
7HAR2NTX-YC8APT4B-4H7H62JP-A2QLWNHU-ZWYX5J4J-W29P6M9W-KS3LKAP4-BML5WTS2

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

IGotYou

IGotYou Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 10000 индийских рупий, чтобы вернуть файлы. Оригинальное название: EncryptingRansomware. На файле написано: EncryptingRansomware.exe. Разработчик: Rogers_Pro.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stupid / FTSCoder >> IGotYou

К зашифрованным файлам добавляется расширение .iGotYou

Образец этого крипто-вымогателя обнаружен во второй половине ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Files Encrypted
If you are reading this, that means your files are now ENCRYPTED by me. #youCan'tSeeMe
If you dont know what's encryption, then go to www.http://searchsecurity.techtarget.com/definition/encryption .
In order to get your data back free from encryption you need to decrypt your data back.
And, obviously you can NOT do that so easily. For that you required a authentic private key and that can only be provided via secrect passcode.
The authentic private key is safe and unbreachable . It will be authenticated by its hash value which can only be possible by that secrect passcode.
In order to get that secrect passcode, you need to help me out with some money. Now I Don't care what do you think when i said "help me out", you can aslo term it as ransom.
You need to pay me INR 10,000 via payTM in account No. XX2X9XX7XX by Dec 1, 2017.
I suggest you to use your phone for this.
WARNING: I am seeing EVERYTHING, so do not try for any smart moves. If there is any unwanted attempt, you can lose all your data FOREVER and after that don't blame me :p
Enter Decryption code here
[Initiate Decryption]

Перевод записки на русский язык:
Файлы зашифрованы
Если вы читаете это, значит ваши файлы теперь ENCRYPTED мной. # youCan'tSeeMe
Если вы не знаете, что такое шифрование, перейдите по адресу www.http://searchsecurity.techtarget.com/definition/encryption.
Чтобы ваши данные не остались зашифрованными, вам надо дешифровать свои данные.
И, очевидно, вы не сможете это легко сделать. Для этого вам нужен аутентичный закрытый ключ, который может быть предоставлен только с помощью секретного пароля.
Аутентичный секретный ключ является безопасным и недоступным. Он будет аутентифицироваться по его хэш-значению, которое может быть возможно только с помощью этого безопасного кода доступа.
Чтобы получить этот секретный код, вам нужно помочь мне с деньгами. Теперь мне все равно, что вы думаете, когда я сказал «помогите мне», вы также можете назвать его выкуп.
Вы должны заплатить мне 10000 рупий через payTM на счет №XX2X9XX7XX до 1 декабря 2017 года.
Я предлагаю вам использовать свой телефон для этого.
ПРЕДУПРЕЖДЕНИЕ: Я вижу ВСЕ, поэтому не пытайтесь делать какие-то умные шаги. Если будет какая-то нежелательная попытка, вы можете потерять все свои данные НАВСЕГДА и после этого не вините меня: p
Введите код дешифрования здесь
[Initiate Decryption]




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифрует только файлы в тестовой папке: C:\Test
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Файлы, связанные с этим Ransomware:
EncryptingRansomware.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 21 ноября 2017 г.

CryptolockerEmulator

CryptolockerEmulator Ransomware

(шифровальщик-вымогатель)


Этот эмулятор шифровальщика-вымогателя шифрует данные с помощью RSA. Работает, видимо, как тестовое ПО, выбрав папку и подготовленные файлы. Оригинальное название: CryptolockerEmulator. На файле написано: CryptolockerEmulator.exe. Среда разработки: Visual Studio 2015. Разработчик: asedunov (А. Седунов). 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Образец этого крипто-вымогателя был обнаружен во второй половине ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: *нет данных*.


Инструкция по шифрованию:
Enter CRYPTO to crypt directory C:\Users\User\Desktop
Press any key to exit...

Перевод на русский язык:
Введи CRYPTO для шифрования директории C::\Users\User\Desktop
Нажми любую клавишу для выхода...

Шифруются только указанные типы файлов и только в текущей папке (см. список ниже).
При тестовом запуске, к сожалению, а может и к счастью, шифрование не сработало. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, которые должны быть зашифрованы:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx (72 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов, файлы прикладных программ, сертификаты и пр.

Файлы, связанные с этим Ransomware:
CryptolockerEmulator.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

RSA-ключ:





Результаты анализов:
 VirusBuy анализ >>
Гибридный анализ образца 37b*** >>
Гибридный анализ образца 3c3*** >>
VirusTotal анализ образца 3c3*** >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 S!ri
 GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Katafrack

Katafrack Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.02 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Ordinal > Katafrack

Фактически переработанная версия Ordinal Ransomware. Отличается визуальными признаками, контактами и адресами.

К зашифрованным файлам добавляется расширение: *нет данных*
Не шифрует файлы, если определяет, что запущен на виртуальной машине.

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ-ME-TO-GET-YOUR-FILES-BACK.txt

Содержание записки о выкупе:
Your files have been encrypted by Ordinal Ransomware
Below is the information you will need to decrypt your files
After that, you'll be able to see your beloved files again.
Email: OrdinalScale@protonmail.com
BTC Address: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
ETH Address 0x06394880c86383eccFbf27788D578C46ed562526
Amount To Send: 0.02 BTC
Identification:ED5E41963F4264302747C645290BA858

Перевод записки на русский язык:
Ваши файлы были зашифрованы Ordinal Ransomware
Ниже приведена информация, необходимая для дешифрования файлов.
После этого вы снова сможете увидеть свои любимые файлы.
Email: OrdinalScale@protonmail.com
BTC адрес: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
ETH адрес 0x06394880c86383eccFbf27788D578C46ed562526
Сумма для отправки: 0.02 BTC
Идентификация: ED5E41963F4264302747C645290BA858

Другим информатором жертвы выступает экран блокировки с красным или с зелёным фоном. Ниже приведены оба варианта. 


Содержание записки о выкупе:
KATAFRACK RANSOMWARE
Follow the instructions to unlock your data
YOU FILES ARE ENCRYPTED
All your files have been encrypted with AES-256 Military Grade Encryption
INSTRUCTIONS
Your files have been encrypted, the only way to recover your files is to pay the fee.
Once you have paid the fee all your files will be decrypted and return to normal.
Send the required fee (found below) to the Bitcoin address (found below). Once you have sent the required fee to the Bitcoin address send an email with your Identification key (without this we cant help you). It may take 12-24 hours for us to respond. You will recive a Decryption Program + Decryption Key. Ethereum is also accepted.
WHAT NOT TO DO
DO NOT RESTARTAURN OFF YOUR COMPUTER
DO NOT ATTEMPT TO RECOVER THE FILES YOUR SELF
DO NOT CLOSE THIS PROGRAM
DECRYPTION KEY WILL BE DELETED FROM OUR SERVERS IN 7 DAYS FROM TODAY
Bitcoin Address: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
Ethereum Address: 0x06394880c86383eccFbf27788D578C46ed562526
Identification: F45EFF1799E2293l6485xxxxxxxxxx
Amount To Send: 0.02 BTC
Contact: OrdinalScale@protonmoil.com
Check Desktop For READ-ME-TO-GET-YOUR-FILES-BACK.txt File


Перевод записки на русский язык:
KATAFRACK RANSOMWARE
Следуйте инструкциям, чтобы разблокировать данные
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Все ваши файлы были зашифрованы с помощью шифрования военного класса AES-256
ИНСТРУКЦИИ
Ваши файлы были зашифрованы, единственный способ восстановить ваши файлы - заплатить выкуп.
После того, как вы заплатите, все ваши файлы будут расшифрованы и вернутся в нормальный вид.
Отправьте требуемую плату (см. ниже) на Bitcoin-адрес (см. ниже). После  отправки требуемой платы на Bitcoin-адрес, отправьте email с вашим идентификационным ключом (без этого мы не сможем вам помочь). Нам  может потребоваться 12-24 часа. Вы получите программу дешифровки + ключ дешифрования. Ethereum также принимается.
ЧТО НЕ ДЕЛАТЬ
НЕ ПЕРЕЗАГРУЖАТЬ СВОЙ КОМПЬЮТЕР
НЕ ПОПЫТАТЬСЯ САМОМУ ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ
НЕ ЗАКРЫВАТЬ ЭТУ ПРОГРАММУ
КЛЮЧ ДЕШИФРОВАНИЯ БУДЕТ УДАЛЕН С НАШИХ СЕРВЕРОВ ЧЕРЕЗ 7 ДНЕЙ
Bitcoin-адрес: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
Ethereum-адрес: 0x06394880c86383eccFbf27788D578C46ed562526
Идентификация: F45EFF1799E2293l6485xxxxxxxxxx
Сумма для отправки: 0.02 BTC
Контакт: OrdinalScale@protonmoil.com
Проверьте на Рабочем столе файл READ-ME-TO-GET-YOUR-FILES-BACK.txt 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LiteHTTP.exe или ETH Wallet.245Z.exe
<random>.exe
READ-ME-TO-GET-YOUR-FILES-BACK.txt
94308059B57B3142E455B38A6EB92015
<random>.txt
Cab<random>.tmp
Tar<random>.tmp

Расположения:
\Desktop\READ-ME-TO-GET-YOUR-FILES-BACK.txt
%LOCALAPPDATA%\ow\Microsoft\CryptnetUrlCache\MetaData\94308059B57B3142E455B38A6EB92015
%TEMP%\CabB3B.tmp
%TEMP%\CabDCDC.tmp
%TEMP%\TarB3C.tmp
%TEMP%\TarDCDD.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Связывается с Ordinal Control Center.
Email: OrdinalScale@protonmail.com
BTC Address: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
ETH Address 0x06394880c86383eccFbf27788D578C46ed562526
dontmindme.tk (144.208.125.95, США) 
144.208.125.95:80 (США)
172.217.16.196:443 (США)
172.217.16.195:443 (США)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 GrujaRS
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *