Если вы не видите здесь изображений, то используйте VPN.

пятница, 26 января 2018 г.

GandCrab

GandCrab Ransomware

GDCB Ransomware

(шифровальщик-вымогатель, RaaS) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее для пострадавших из РоссииБеларусиКазахстана, Украины >>>



Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA-2048 для ключей, а затем требует выкуп в 1-3 Dash (крипто-валюта), чтобы купить у вымогателей GandCrab Decryptor и вернуть файлы. Оригинальное название: GandCrab. На файле написано: GandCrab.exe. Разработчики: скрываются под никами kdabjnrg, GandCrab, крабы. Есть сведения, что среди распространителей шифровальщика есть знающие русский язык, действующие из Украины и РумынииФилиалы могут быть и в других странах. 

Обнаружения:
DrWeb -> Trojan.Encoder.24386
BitDefender -> Trojan.GenericKD.3004295
Kaspersky -> Trojan.Win32.Jorik.sbl
Symantec -> Ransom.GandCrab
TrendMicro -> Ransom_GANDCRAB.A

© Генеалогия: GandCrab > GandCrab-2GandCrab-3 > GandCrab-4 > GandCrab-5 > ...
Изображение не принадлежит шифровальщику (это логотип статьи)

К зашифрованным файлам добавляется расширение .GDCB 

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В первые дни распространения наибольшее количество пострадавших было в Южной Корее. Позже добавились пострадавшие из Бразилии, США, Индии, Индонезии, Пакистана и других стран. Спустя полтора месяца в числе стран с наибольшим количеством пострадавших: США (48%), Великобритания, Финляндия, Израиль (по 5%), Австралия (4%), Канада, Норвегия, Швеция (по 3%) и другие в меньшей степени. 

Записка с требованием выкупа называется: GDCB-DECRYPT.txt

Содержание записки о выкупе:
---= GANDCRAB =---
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB 
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser - xxxxs://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: xxxx://gdcbghvjyqy7jclk.onion/6361f798c4ba3***
5. Follow the instructions on this page
If Tor/Tor browser is locked in your country or you can not install it, open one of the following links in your regular browser:
1. xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3***
2. xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3***
3. xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3***
4. xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3***
5. xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3***
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
DANGEROUS!
Do not try to modify files or use your own private key - this will result in the loss of your data forever!

Перевод записки на русский язык:
---= GANDCRAB =---
Внимание!
Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .GDCB
Единственный способ восстановления файлов - купить закрытый ключ. Это на нашем сервере, и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытой сети TOR. Вы можете добраться туда следующими способами:
1. Загрузите Tor-браузер - xxxxs: //www.torproject.org/
2. Установите Tor-браузер
3. Откройте Tor-браузер
4. Откройте ссылку в Tor-браузере: xxxx://gdcbghvjyqy7jclk.onion/6361f798c4ba3***
5. Следуйте инструкциям на этой странице
Если браузер Tor / Tor-браузер заблокирован в вашей стране или вы не можете его установить, откройте одну из следующих ссылок в вашем обычном браузере:
1. xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3***
2. xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3***
3. xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3***
4. xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3***
5. xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3***
На нашей странице вы увидите инструкции по оплате и получите возможность дешифровать 1 файл бесплатно.
ОПАСНО!
Не пытайтесь изменять файлы или использовать свой закрытый ключ - это приведет к потере ваших данных!


Информация также находится на Tor-сайте вымогателей. Они обещают по истечении отведенного для выкупа срока удвоить сумму выкупа. 
 Скриншоты с Tor-сайта вымогателей

По всей видимости это первый крипто-вымогатель, который требует выкуп в крипто-валюте Dash. Судя по скриншотам, Dash за день даже подрос. 



Технические детали

Распространяется через два набора эксплойтов: RIG EK и GrandSoft EK. Используется фальшивое обновление шрифтов (Font Update). Также распространяется как RaaS на форумах кибер-андеграунда, в том числе в Рунете. Может также начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов, торрент-файлов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Это изображение из ресурсов шифровальщика. было представлено исследователем. 

➤ Детектируемые языки крипто-вымогателя: английский и еврейский. 

О чём это говорит? 
Тут могут быть разные варианты. 

➤ 1. Распространение на подпольных форумах как RaaS и по партнерской программе. Запрещено запускать и работать в странах СНГ: Армения, Азербайджан, Беларусь, Грузия, Кыргызстан, Казахстан, Молдова, Россия, Таджикистан, Туркменистан, Украина, Узбекистан (краткий код стран - AM, AZ, BY, GE, KG, KZ, MD, RU, TJ, TM, UA, UZ).

➤ 2. Распространение через спам-рассылки с вредоносным вложением (PDF.EXE, DOC.JS, DOCM) и загрузками вредоносного содержимого с определённых сайтов. Для запуска скриптов используется технология PowerShell из набора Windows.
- Пример темы письма: Receipt Feb-078122
- Пример вложения: Feb01221812.pdf

➤ GandCrab использует сервис определения IP-адреса атакуемого компьютера (whatismyipaddress.com), чтобы атаковать только ПК, находящиеся в Южной Корее или Западной Европе. 

➤ Разработчики GandCrab используют DNS-сервер NameCoin, т.к. это затрудняет правоохранительным органам отслеживание владельца домена и удаление доменов.

➤ GandCrab проверяет наличие в системе exe-файлов антивирусов от следующих производителей: Avast, Avira, Comodo, ESET, F-Secure, Kaspersky, McAfee, Microsoft, Norton/Symantec, Panda, Trend Micro:

 При первом запуске GandCrab попытается подключиться к C&C-серверу вымогателей, размещенному на одном из доменов Namecoin.
При запросе адресов следующих доменов, используется команда nslookup [insert domain] a.dnspod.com, которая запрашивает сервер a.dnspod.com, поддерживающий TLD.bit (иначе говоря, домен верхнего уровня .BIT), для одного из доменов ниже:
  bleepingcomputer.bit
  nomoreransom.bit
  esetnod32.bit
  emsisoft.bit
  gandcrab.bit

 Если компьютер жертвы не может подключиться к C&C-серверу, то шифровальщик GandCrab не будет шифровать файлы, но он будет продолжать работу в фоновом режиме, пытаясь получить IP-адрес для C&C-сервера и подключиться к нему. Как только он сможет разрешить домен, он подключится к IP-адресу C&C-сервера. 

 В настоящее время неизвестно, какие данные отправляются и извлекаются, но C&C-сервер, скорее всего, отправляет открытый ключ, который используется для шифрования файлов. Зато известно, какую информацию GandCrab собирает: имя пользователя, версия ОС, системный язык, наличие антивируса, тип и архитектура процессора, активные и используемые диски (по-буквенно) и прочее.  

 Во время этого процесса, GandCrab также будет подключаться к ipv4bot.whatismyipaddress.com для определения общедоступного IP-адреса жертвы.

➤ Перед шифрованием GandCrab завершает работу множества процессов, относящихся к системе, офисным приложениям, базам данных и прочих. 
Это закроет любые дескрипторы файлов, открытые этими процессами, чтобы их можно было правильно зашифровать.
Вот список процессов в текстовом виде и на картинке: 
msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip (456 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

GandCrab пропускает файлы, полный путь которых содержит следующие строки:
ProgramData, Program Files, Tor Browser, Ransomware, All Users, Local Settings, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, GDCB-DECRYPT.txt, .sql

Файлы, связанные с этим Ransomware:
GDCB-DECRYPT.txt
GandCrab.exe
nslookup.exe
apaluj.exe
kpmbri.exe
<random>.exe
\Crypto\
Всего отбрасывает 1976 различных файлов.
GandCrab_Decryptor.exe - дешифровщик от вымогателей
private.gandcrab - файл с закрытым ключом от вымогателей
Скриншот декриптора от вымогателей

Расположения:
\Desktop\ -> GDCB-DECRYPT.txt
\User_folders\ -> GDCB-DECRYPT.txt
\System Volume Information\ -> GDCB-DECRYPT.txt
\Temp\GandCrab.exe
%APPDATA%\Microsoft\apaluj.exe
%Appdata%\Microsoft\Crypto\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://gandcrab.bit  (78.155.206.6) - C2
xxxx://a.dnspod.com (112.90.141.215) - DNS-сервер
xxxx://ipv4bot.whatismyipaddress.com (66.171.248.178 США)
xxxx://66.171.248.178/ 
xxxx://92.53.66.11/***
xxxx://bot.whatismyipaddress.com/
---
xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3647
---
xxxx://gdcbghvjyqy7jclk.onion/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.casa/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.guide/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.plus/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.rip/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.top/6c6a47a5c33fdc78
---
xxx://sorinnohoun.com/*** - для загрузки вредоносного содержимого (PowerShell-скрипт)
См. ниже результаты анализов.

Результаты анализов:
ANY.RUN анализ и обзор >>
ANY.RUN анализ и обзор декриптора >>
Гибридный анализ >> еще >>
VirusTotal анализ >>
Broad анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.





=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
   
GandCrab Ransomware
GandCrab RaaS Ransomware
GandCrab-2 Ransomware
GandCrab-3 Ransomware
GandCrab-4 Ransomware
GandCrab-5 Ransomware




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 31 января 2018:
Пост в Твиттере >>
Файл: Font_update.exe
Результаты анализов: VT + HA
ВНИМАНИЕ!!! GandCrab использует трюк с поддельным установщиком шрифтов (шрифт HoeflerText), который загружается со специально подготовленных сайтов. Установка вредоноса под видом шрифта — это давний излюбленный приём злоумышленников. Нельзя принимать на компьютер шрифты с ехе-расширениями и другими нетипичными для шрифтов. И даже в типичных случаях, если вы загрузили внешне легитимный файл шрифта с какого-то сайта, необходима тщательная проверка файла своим антивирусом и на сайтах онлайн-анализа. Только при 100% положительном результате используйте шрифт на своем компьютере. 
Трюк со шрифтом HoeflerText ранее использовался во вредоносной кампании Spora Ransomware и некоторых других. 


Обновление от 5 февраля:
Пост в Твиттере >>
dns.soprodns.ru - новый DNS-сервер
nomoreransom.coin - новый C2-сервер
Результаты анализов: AR + VT

Обновление от 7 февраля:
К распространению добавился malspam (спам-рассылки с вредоносами). 
Письма замаскированы под платежные квитанции с темами типа Receipt Feb-078122. 
Если получатель откроет вложение без предварительной проверки антивирусной программой, то по содержащейся в нём ссылке с сайта butcaketforthen.com сразу загружается DOC-файл с макросом, который запускает PowerShell-скрипт, устанавливающий GandCrab с сайта sorinnohoun.com
Статья об этом обновлении на BleepingComputer.com >>
Файл: nslookup.exe
Результаты анализов: VB + VT + HA


Обновление от 21 февраля 2018:
GandCrab версия 2.3r
Пост в Твиттере >>
Результаты анализов: VT


Обновление от 23 февраля 2018:
GandCrab версия 2.3.1r
Пост в Твиттере >>
Результаты анализов: VT + Cape

Обновление от 27 февраля 2018:
GandCrab версия 2.3.2r
Пост в Твиттере >>
Результаты анализов: VB


Обновление от 1 марта:
Заявление русскоязычных распространителей, которые называют себя — крабы. 


=== 2019 === 

Обновление от 1 июня 2019. GandCrab закрылся!
Представитель GandCrab на форуме, где они изначально продвигали свое вредоносное решение среди таких вымогателей, хакеров и прочих представителей кибер-криминала, сообщил о закрытии проекта GandCrab. При этом он заявил, что вместе с закрытием вымогательского проекта GandCrab они намерены удалить все ключи дешифрования, что исключить возможность восстановления файлов на ПК пострадавших. Таким образом они или хотят побудить пострадавших заплатить неуплаченные ранее выкупы, или же в самом деле планируют уничтожить ключи. 
В отличие от них, как известно, разработчики других шифровальщиков (TeslaCrypt, Crysis и пр.) в своё время публиковали оставшиеся ключи в открытый доступ, чтобы жертвы могли восстановить свои данные, пусть и не сами, а с помощью разработчиков дешифровщиков и специалистов антивирусных компаний.

За последний месяц распространения (май 2019) у GandCrab наблюдалось стойкое снижение вредоносной и клиентской активности. Потому его закрытие было предрешено. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать GandCrab Decrypter для дешифровки >>
В первую очередь прочтите инструкцию и рекомендации.
Самое главное — не сделать себе хуже, чем уже есть.
 Read to links: 
 Tweet on Twitter + Tw + Tw + Tw + Tw + Tw
 ID Ransomware (ID as GandCrab)
 Write-up (add. January 29, 2018), Topic of Support
 🎥 Video review
 - Видеообзор сделан CyberSecurity GrujaRS
 Thanks: 
 AnyRun, GrujaRS, David Montenegro‏ 
 MalwareHunterTeam, Marcelo Rivero
 Andrew Ivanov and my volunteers
 Lawrence Abrams, Marcelo Rivero
 and others...

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

воскресенье, 21 января 2018 г.

RansomUserLocker

RansomUserLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: RansomUserLocker. На файле написано: RansomUserLocker.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Korean Talk > RansomUserLocker

К зашифрованным файлам добавляется расширение .RansomUserLocker

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на корейскоязычных пользователей, что не мешает распространять его по всему миру. Вероятно, пока находится в разработке. 

Записка с требованием выкупа называется: Read_Me.txt
Запиской с требованием выкупа выступает экран блокировки.

Содержание текста о выкупе:
Your ID DEA7-F40B-5629-2EF5-0EDA-C2A0-8990-0CF5-56DT
*** текст на корейском ***

Перевод текста на русский язык (примерный перевод автора блога):
Your ID DEA7-F40B-5629-2EF5-0EDA-C2A0-8990-0CF5-56DT
1. Что случилось с вашим компьютером?
Ваши личные файлы, включая ваши фото, документы, видео и другие важные файлы были зашифрованы с RSA-4096, сильным алгоритмом шифрования. Алгоритм RSA генерирует открытый и закрытый ключи для вашего компьютера. Открытый ключ был использован для шифрования файлов. Закрытый ключ нужен, чтобы расшифровать и восстановить файлы. Ваш закрытый ключ хранится на нашем секретном сервере. Никто не сможет восстановить ваши файлы без этого ключа.
2. Как расшифровать мои файлы?
Для расшифровки и восстановления файлов вы должны заплатить за секретный ключ и дешифровку. У вас есть только 72 часа чтобы сделать оплату. Если оплата не будет сделана за это время, то ваш закрытый ключ будет автоматически удалён с нашего сервера. Не тратьте своё время, т.к. нет никакого другого пути, чтобы восстановить ваши файлы, кроме оплаты выкупа. 
3. Как заплатить за мой личный ключ?
Выполните следующие шаги для оплаты и восстановления файлов:
1). Оплата возможна только в биткоинах. Поэтому, пожалуйста, купите 1 BTC, а затем отправьте по указанному ниже адресу. 
2). Пришлите ваш ID (Personal ID) на наш официальный email-адрес ниже: 
Official Mail: owerhacker@hotmail.com
Обязательно проверьте свою личную информацию. Пожалуйста, воздержитесь от оскорблений и отправьте мне email в тот же день.
Ваш персональный ID указан в заголовке этого экрана. 
3). Вы получите дешифратор и закрытый ключ для восстановления всех файлов за один рабочий день.
4. Как найти и купить биткоины?
Приобретите и отправьте 1 биткоин на наш биткоин-кошелек: 1HB5XMLmzFVj8ALj6mfBsbitRoD4miY36v
1) ***
2) ***
3) ***
4) Пожалуйста, купите биткоины и отправьте ваш ID по почте на наш официальный email-адрес.
Мы не хорошие люди. Но мы должны держаться в той области, где мы это делаем.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read_Me.txt
RansomUserLocker.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: owerhacker@hotmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams‏, BleepingComputer
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 19 января 2018 г.

Instalador, QwertyCrypt

Instalador Ransomware

QwertyCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: Instalador. Название проекта: Instalador.pdb. На файле написано: Instalador.exe. Разработчик: Rodolfo / Team Anonymous Brazil.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Instalador (QwertyCrypt)

К зашифрованным файлам добавляется расширение .qwerty

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на португалооязычных и бразильских пользователей, что не мешает распространять его по всему миру. Вероятно, пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки с заголовком Aguarde..., которому предшествует экран с просьбой подождать. В это время файлы шифруются. 

Содержание записки о выкупе:
ATENÇÃO! Todos os seus arquivos foram seqüestrados!
O que aconteceu com o meu computador?
Seu computador sofreu um seqüestro de dados, os seus arquivos importantes (documentos, planilhas, videos. anotações e etc), estão agora protegido com uma criptografia altamente complexa e segura.
Você não poderá mais acessar os seus arquivos!
Como faço para desbloquear?
Você deverá pagar a quantia de 0.05000000 Bitcoin para o endereço 15tGsTDLMztrxP1kCoKPBTaBgv1xCKRtkY
Depois de pago iremos enviar a sua senha e você poderá desbloquear rapidamente seus arquivos!
Como entrar em contato?
Através do nosso telegram iremos enviar a senha do seu computador!
Telegram: http://t.me/@rodolfoanubis
Muito obrigado aguardamos o contato!

Перевод записки на русский язык:
ВНИМАНИЕ! Все ваши файлы были захвачены!
Что случилось с моим компьютером?
Ваш компьютер взломан, ваши важные файлы (документы, таблицы, видео, заметки и т.д.), теперь защищены очень сложным и безопасным шифрованием.
Вы больше не сможете получить доступ к своим файлам!
Как разблокировать?
Вы должны заплатить сумму в 0.05000000 биткоина на адресу 15tGsTDLMztrxP1kCoKPBTaBgv1xCKRtkY
После оплаты мы пришлём ваш пароль, и вы сможете быстро разблокировать свои файлы!
Как связаться?
Через наш Telegram мы отправим пароль вашего компьютера!
Telegram: http://t.me/@rodolfoanubis
Большое спасибо за контакт!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Instalador.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: http://t.me/@rodolfoanubis
BTC: 15tGsTDLMztrxP1kCoKPBTaBgv1xCKRtkY
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать Hidden Tear Decrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as QwertyCrypt)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Leo, GrujaRS
 GrujaRS
 Michael Gillespie
 Andrew Ivanov
* 

© Amigo-A (Andrew Ivanov): All blog articles.

InsaneCrypt

InsaneCrypt Ransomware

desuCrypt, DeusCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью RC4 + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. Название проекта: desuCrypt.pdb. Среда разработки: Visual Studio 2008. Статус: Файлы можно дешифровать!

© Генеалогия: desuCrypt (пробная версия) > InsaneCrypt

К зашифрованным файлам добавляется расширение .insane
Фактически используется составное расширение .[insane@airmail.cc].insane

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How_decrypt_files.txt

Содержание записки о выкупе:
Hello!
If you want restore your files write on email - insane@airmail.cc

Перевод записки на русский язык:
Привет!
Если хотите вернуть свои файлы, пишите на email - insane@airmail.cc



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Используется встроенный открытый ключ RSA-2048 для шифрования ключа для каждого файла.

Выполняет деструктивные команды:
cmd.exe / c vssadmin delete shadows / all / quiet & wmic shadowcopy delete & bcdedit / set{ default } bootstatuspolicy ignoreallfailures & bcdedit / set{ default } recoveryenabled no & wbadmin delete catalog - quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_decrypt_files.txt
desuCrypt.exe

Расположения:
%APPDATA%\How_decrypt_files.txt
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: insane@airmail.cc
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ на вариант DeusCrypt >>
VirusTotal анализ на вариант InsaneCrypt >>
Intezer анализ на вариант InsaneCrypt >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Предыстория:
В декабре 2017 года был ранний проект desuCrypt.
Оригинальное название: desuCrypt или DeusCrypt:
Расширения: .DEUSCRYPT и .deuscrypt
Составное расширение: .[rememberggg@tutanota.com].DEUSCRYPT
Email: rememberggg@tutanota.com
Записка: note.txt
Содержание записки: 
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail rememberggg@tutanota.com.You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
2b1be0***
Результаты анализов: HA + VT

Обновление от 12 февраля 2018:
Пост в Твиттере >>
Расширение: .Tornado
Составное расширение: .[<email>].Tornado
Записка: key.txt
Email-1: helpcrypt@airmail.cc, supphelp@cock.li
Email-2: dongeswas@tutanota.com, dongeswas@cock.li
Содержание записки:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: helpcrypt@airmail.cc.You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.In case of no answer in 48 hours write us to theese e-mails: supphelp@cock.li
[KEY *** 512 hex]
---
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: dongeswas@tutanota.com.You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.In case of no answer in 48 hours write us to theese e-mails: dongeswas@cock.li
[KEY *** 512 hex]
Результаты анализов: HA + VT
Статус: Дешифруется!


Обновление от 15 февраля 2018:
Пост в Твиттере >>
Расширение: .twist
Составное расширение: .[<email>].twist
Email: twist@airmail.cc
Содержание записки / Contents of note: 
Статус: Дешифруется!


Обновление от 24 февраля 2018:
Расширение: .Tornado
Составное расширение: .[aidcompany@tutanota.com].Tornado
Email: aidcompany@tutanota.com
Целевая система: x64
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать InsaneCryptDecrypter для дешифровки >> *
Поддерживаемые расширения:
.[<email>].insane
.[<email>].DEUSCRYPT
.[<email>].deuscrypt
.[<email>].Tornado
.[<email>].twist
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as InsaneCrypt)
 Write-up, Topic of Support
  🎥 Video review + Tweet
 This video review provided by CyberSecurity GrujaRS
Added later: 
Write-up (added on January 22, 2018)
Topic of Support
 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov
 GrujaRS
 Lawrence Abrams
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

вторник, 16 января 2018 г.

KillBot_Virus

KillBot_Virus Ransomware
KillBot.Prime Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: KillBot Virus с вариациями. На exe-файле в данный момент написано: KILLBOT.PRIME.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: KillBot_Virus > KillBot.Prime

К незашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на середину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Пока имеет недоработанный функционал и ничего не шифрует, только пугает.  

Запиской с требованием выкупа выступает следующий скриншот, вероятно, экран блокировки или его часть.

Содержание записки о выкупе:
Oops your important data was encrypted with an AES encryption algorithm!!
<Killbot Virus>
If you see this banner then all of your important files have been encrypted and the executable format files were infected
What is this?
Killbot is a virus that encrypts files and data and infects them
As you became it's victim please make sure to read all the info below.
WARNING!: THIS IS NOT SOME JOKES EVERYTHING IS REAL!
ALSO DO NOT TRY TO CLOSE OR EVEN DELETE THE SOFTWARE IF YOU DO YOUR PC WILL BE DESTROYED!
Your files cannot be restored, however there are some steps to follow if you donft want it on your computer.
Step 1: Please get a windows reinstallation CD and reinstall windows on your computer.
Step 2: Get a powerful antivirus software and update it to the latest version.
Please do everything as it was written if you want to get your PC back
</Killbot Virus>

Перевод записки на русский язык:
Увы, ваши важные данные зашифрованы с алгоритмом шифрования AES!
<Killbot Virus>
Если вы видите этот баннер, то все ваши важные файлы зашифрованы, а исполняемые файлы заражены
Что это?
Killbot - это вирус, который шифрует файлы и данные и заражает их
Раз вы стали жертвой, обязательно прочитайте всю информацию ниже.
ПРЕДУПРЕЖДЕНИЕ!: ЭТО НЕ ШУТКА, ВСЕ РЕАЛЬНО!
ТАКЖЕ НЕ ПЫТАЙТЕСЬ ЗАКРЫТЬ ИЛИ ЖЕ УДАЛИТЬ ПРОГРАММУ, ЕСЛИ ВЫ ЭТО СДЕЛАЕТЕ, ТО ВАШ ПК ПОСТРАДАЕТ!
Ваши файлы не могут быть восстановлены, но можно предпринять некоторые шаги, если вы не хотите этого на своем компьютере.
Шаг 1. Загрузите CD с Windows и переустановите Windows на своем компьютере.
Шаг 2. Получите мощную антивирусную программу и обновите её до последней версии.
Пожалуйста, сделайте все, как было написано, если вы хотите вернуть свой компьютер
</Killbot Virus>



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KILLBOT.PRIME.exe
<image>

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *