Если вы не видите здесь изображений, то используйте VPN.

пятница, 2 февраля 2018 г.

Xorist-Frozen

Xorist-Frozen Ransomware

(шифровальщик-вымогатель)



Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


Этот крипто-вымогатель шифрует данные серверов с помощью XOR, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.


© Генеалогия: Xorist >> Xorist-Frozen

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение ...Files-Frozen-NEED-TO-MAKE-PAYMENT-FOR-DECRYPTOR-OR-ALL-YOUR-FILES-WILL-BE-PERMANENLTY-DELETED

Активность этого крипто-вымогателя пришлась на начало февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
All your important files were FROZEN on this computer.
Encrtyption was produced using unique KEY generated for this computer. 
To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 36 hours after encryption completed.
REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!
To retrieve the private key, you need to pay 0.5 bitcoins
Bitcoins have to be sent to this address: 3N8FxD8y3AKKPZaUBuypw55YYSswmECPxh
After you've sent the payment send us an email to : frozen_service_security@scryptmail.com  with subject : ERROR-ID-63100888(0.5BTC)
If you are  not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
After we confirm the payment , we send the private key so you can decrypt your system.

Перевод записки на русский язык:
Все ваши важные файлы были ЗАМОРОЖЕНЫ на этом компьютере.
Шифрование сделано с уникального КЛЮЧОМ, созданным для этого компьютера.
Для дешифрования файлов вам нужно получить закрытый ключ.
Единственная копия закрытого ключа, позволяющая расшифровать файлы, находится на секретном сервере в Интернете;
Сервер уничтожит ключ через 36 часов после завершения шифрования.
ПОМНИТЕ, ЧТО ЕСТЬ ТОЛЬКО 24 ЧАСА ДЛЯ АВТОМАТИЧЕСКОЙ ОПЛАТЫ!
Для получения закрытого ключа вам надо заплатить 0,5 биткоина
Биткоины надо отправить по этому адресу: 3N8FxD8y3AKKPZaUBuypw55YYSswmECPxh
После отправки платежа пришлите нам письмо по адресу: frozen_service_security@scryptmail.com с темой: ERROR-ID-63100888(0.5BTC)
Если вы не знакомы с биткоинами, вы можете купить его здесь:
САЙТ: www.localbitcoin.com
После подтверждения платежа мы отправим секретный ключ, чтобы вы могли расшифровать свою систему.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 3N8FxD8y3AKKPZaUBuypw55YYSswmECPxh
Email: frozen_service_security@scryptmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.





=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Xorist Ransomware - март 2016
Xorist-FakeRSA - февраль 2017
Xorist-Zixer2 Ransomware - апрель 2017
Xorist-RuSVon Ransomware - июль 2017
Xorist-Hello Ransomware - август 2017
Xorist-CerBerSysLock Ransomware - декабрь 2017
Xorist-XWZ Ransomware - март 2018
Xorist-Frozen Ransomware - февраль - июль 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 14 марта 2018:
Сумма выкупа: 7 BTC
BTC: 33JCALvTgh7CmEDWQjuvkquH4GVEbA56oG
Email: Payment_Confirmation@scryptmail.com
Содержание записки о выкупе: 
All your important files were blocked on this computer.
Encrtyption was produced using unique key generated for this computer.
To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 36 hours after encryption completed.
REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!
To retrieve the private key, you need to pay 7 (BTC)
Bitcoins have to be sent to this address: 33JCALvTgh7CmEDWQjuvkquH4GVEbA56oG
After you've sent the payment send us an email to : Payment_Confirmation@scryptmail.com with subject : ERROR-ID-631009091(7-BTC)
If you are  not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
After we confirm the payment , we send the private key so you can decrypt your system.
Топик на форуме >>

Обновление от 24 апреля 2018:
Пост в Твиттере >>
Статья на MTA >>
Расширение: .PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment
Записка: HOW TO DECRYPT FILES.txt
Информатором жертвы также выступает диалоговое окно с тем же текстом.
Email: Email_Decryptor_Payment@scryptmail.com
BTC: 3J1MD7EAzdaYewBDA71t7NShkc64w4a41T
Сумма выкупа: 700 евро или 0.7 BTC в другом варианте
Содержание записки о выкупе: 
All your important files were BLOCKED on this computer.
Encrtyption was produced using unique KEY generated for this computer.
To decrypted files, you need to otbtain private key.
The single copy of trie private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.
REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!
To retrieve the private key, you need to pay 700-EURO
PLEASE BE REZONABLE PAYMENT IS LITTLE ONLY 700 EURO
WE ACCEPT ONLY PAYMENT TO BITCOIN!
Bitcoins have to be sent to this address: 3J1MD7EAzdaYeWBDA71t7NShkC64W4a41T
After you've sent the payment send us an email to : Email_Decryptor_Payment@scryptmail.com with subject : ERROR-ID-6212510
If you are not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
After we confirm the payment , we send the private key so you can decrypt your system.
***
➤ Другой вариант записки:
All your important files were BLOCKED on this computer.
Encrtyption was produced using unique KEY generated for this computer. 
To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.
REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!
To retrieve the private key, you need to pay 0.7 BTC
Bitcoins have to be sent to this address: 3J1MD7EAzdaYeWBDA71t7NShkC64W4a41T
After you've sent the payment send us an email to : Email_Decryptor_Payment@scryptmail.com  with subject : ERROR-ID-63100606(0.7BTC)
If you are  not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
If you try to use third party for help  we will delete all your files
After we confirm the payment , we send the private key so you can decrypt your system.
Результаты анализов: 
VT + VT + VT

Обновление от 23 мая 2018:
Расширение: .......PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment
Email: Email_Decryptor_Payment@scryptmail.com
BTC: 3J1MD7EAzdaYeWBDA71t7NShkC64W4a41T
Записка: HOW TO DECRYPT FILES.txt
Содержание записки: Как в одном из вариантов от 24 апреля 2018. 


Обновление от 13 июня 2018:
Пост в Твиттере >>
Расширение:  ....PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_YOU_NEED_TO_PURCHASE_THE_DECRYPTOR_FROM_US_FAST_AND_URGENT
Email: repair_data@scryptmail.com
Сумма выкупа: 0.8 BTC
BTC-wallet: 3KxEZKjS4ifAHhX2o1fq9tERkAshSgA4hg
Файл: worker.exe
 
 Скриншоты записки и изображения с email вымогателей
➤ Содержание записки:
YOUR SYSTEM IS LOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.
DON'T WORRY YOUR FILES ARE SAFE.
TO RETURN ALL TO NORMALLY YOU MUST BUY THE CERBER DECRYPTOR PROGRAM.
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
https://coinatmradar.com/  (find a ATM)
https://www.localbitcoins.com/ (buy instantly online any country)
THE PRICE FOR DECRYPTOR SOFTWARE IS 0.8 BTC
BTC ADRESS : 3KxEZKjS4ifAHhX2o1fq9tERkAshSgA4hg (where you need to make the payment)
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.
THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.
For more information : repair_data@scryptmail.com   (24/7)
Subject : SYSTEM-LOCKED-ID: 10191xxx
Результаты анализов: HA + VT + Malshare
Пример топика на форуме >>


Обновление от 25 июня 2018: 
Расширение: .PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment
Вторая часть расширения на картинке: id-F25E5DE4.[Worldcry@cock.li] - от шифровальщика Dharma
Записка: HOW TO DECRYPT FILES.txt 
➤ Содержание записки: 
All your important files were BLOCKED on this computer.
Encrtyption was produced using unique KEY generated for this computer. 
To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.
REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!
To retrieve the private key, you need to pay 0.7 BTC
Bitcoins have to be sent to this address: 3J1MD7EAzdaYeWBDA71t7NShkC64W4a41T
After you've sent the payment send us an email to : Email_Decryptor_Payment@scryptmail.com  with subject : ERROR-ID-63100606(0.7BTC)
If you are  not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
If you try to use third party for help  we will delete all your files
After we confirm the payment , we send the private key so you can decrypt your system.
➤ Записи в реестре:
HKEY_CLASSES_ROOT\....PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_to_make_the_payment
HKEY_CLASSES_ROOT\CUJVMVYCURZLZNO
HKEY_CLASSES_ROOT\CUJVMVYCURZLZNO\DefaultIcon
HKEY_CLASSES_ROOT\CUJVMVYCURZLZNO\shell\open\command
Топик на форуме >>
Результаты анализов: VT + HA + VMRay + JSA

Обновление от 26 июня 2018: 
Расширение:
....FILES_ARE_SAFE_THE_SIGNLE_AND_UNIQ_WAY_TO_RECOVER_YOUR_FILES_IS_TO_BUY_THE_CERBER_DECRYPTOR_PROGRAM_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOUR_OR_ALL_YOUR_FILES_WILL_BE_LOST_FORVER_PLEASE_BE_REZONABLE_AND_MAKE_THE_PAYMENT_URGENTLY
Топик на форуме >>

Обновление от 5 июля 2018:
Расширение:
.NEED-TO-MAKE-PAYMENT-OR-ALL-YOUR-FILLES-WILL-BE-DELETED-CRITICAL-SITUATION-URGENT-ATTENTION-24-HOURS-TO-PAY-OR-EVERYTHING-WILL-BE-PERMANENTLY-DELETED-FOREVER

Записка: HOW TO DECRYPT FILES.txt
Email: Payment_Confirmation@scryptmail.com
BTC: 33JCALvTgh7CmEDWQjuvkquH4GVEbA56oG
➤ Содержание записки:
All your important files were FROZEN on this computer.
Encrtyption was produced using unique KEY generated for this computer.
To decrypted files, you need to otbtain private key.
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 36 hours after encryption completed.
REMEMBER YOU HAVE ONLY 24 HOURS TO PAY EVERITHING IS AUTOMATICALLY!
To retrieve the private key, you need to pay 7 (BTC)
Bitcoins have to be sent to this address: 33JCALvTgh7CmEDWQjuvkquH4GVEbA56oG
After you've sent the payment send us an email to : Payment_Confirmation@scryptmail.com with subject : ERROR-ID-631009091(7-BTC)
If you are  not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
After we confirm the payment , we send the private key so you can decrypt your system.
Красным помечена слова с ошибками. 
Результаты анализов: VT + AR

Обновление от 8 июля 2018:
Пост в Твиттере >>
Расширение: ...DATA_IS_SAFE_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_LOST_FOREVER_PLEASE_BE_REZONABLE_IS_NOT_A_JOKE_TIME_IS_LIMITED
Email: FSA2018@scryptmail.com
BTC: 3HtA9MAZGh3m6NAtRc6fQRWbfFE2z7MYUW
Записка: HOW TO DECRYPT FILES.txt
➤ Содержание: 
YOUR SYSTEM IS LOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.
DON'T WORRY YOUR FILES ARE SAFE.
TO RETURN ALL TO NORMALLY YOU MUST BUY THE CERBER DECRYPTOR PROGRAM.
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
https://coinatmradar.com/   (find a ATM)
https://www.localbitcoins.com/  (buy instantly online any country)
THE PRICE FOR DECRYPTOR SOFTWARE IS 0.08 BTC -> Please be rezonable the Payment is NOT HIGH!
BTC ADRESS : 3HtA9MAZGh3m6NAtRc6fQRWbfFE2z7MYUW (where you need to make the payment)
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.
THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.
For more information : FSA2018@scryptmail.com   (24/8)
Subject : SYSTEM-LOCKED-ID: 8866102xxx
Топик на форуме >>

Обновление от 15 октября 2018:
Пост на форуме >>
Расширение:  ...DATA_IS_SAFE_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOURS_OR_ALL_YOUR_IMPORTANT_FILES_WILL_BE_LOST_FOREVER_PLEASE_BE_REZONABLE_IS_NOT_A_JOKE_TIME_IS_LIMITED
Email: restore_service@scryptmail.com
Записка: HOW TO DECRYPT FILES.txt
➤ Содержание:
YOUR SYSTEM IS BLOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN BLOCKED.
DON'T WORRY YOUR FILES ARE SAFE.
TO REPAIR YOUR SYSTEM AND RETURN TO NORMAL YOU MUST BUY THE FIXER TOOL
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
THE PRICE FOR DECRYPTOR SOFTWARE IS 0.5 BTC
BTC ADRESS : < btc address > (where you need to make the payment)
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.
THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.
For more information : restore_service@scryptmail.com   (24/7)
Subject : SYSTEM-LOCKED-ID: 1989102018


Обновление от 25 марта 2019:
Пост в Твиттере >>
Расширение: ....VeraCrypt_System_Error2019-You_need_to_make_payment_in_maxmin_24_hours_if_you_dont_the_decryptor_license_will_be_deleted_this_is_not_a_joke
Записка: HOW TO DECRYPT FILES.txt
Email: restore_service99@scryptmail.com


Обновление от 23 октября 2020:
Расширение: .system_damaged_payment_must_be_done_in_maxim_24_hours_or_your_encryption_key_will_be_deleted_forver
Email: ineedmoney12@tutanota.com
BTC: 18Tymv8EpXorQgEtP5L6x1x93ZT9a8eSPw
Записка: HOW TO DECRYPT FILES.txt
➤ Содержание записки: 
YOUR SYSTEM IS LOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.
DON'T WORRY YOUR FILES ARE SAFE.
TO RETURN ALL TO NORMALLY YOU MUST BUY THE CERBER DECRYPTOR PROGRAM.
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
https://coinatmradar.com/   (find a ATM)
https://www.localbitcoins.com/  (buy instantly online any country)
THE PRICE FOR DECRYPTOR SOFTWARE IS 5 BTC
BTC ADRESS : 18Tymv8EpXorQgEtP5L6x1x93ZT9a8eSPw (where you need to make the payment)
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.
THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.
For more information : ineedmoney12@tutanota.com   (24/7)
Subject : SYSTEM-LOCKED-ID: 0SW1032770




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать XoristDecrypter для дешифровки >>
Прочтите подробную инструкцию перед запуском. 

 Альтернативный вариант:
Есть еще один дешифровщик, регулярно обновляемый!
За помощью обращайтесь по ссылке к thyrex >>  Twitter
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 
 Thanks: 
 (victim in the topics of support)
 BleepingComputer, Michael Gillespie
 Alex Svirid, Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Tear Dr0p

Tear Dr0p Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует пройти тест (игру), чтобы получить высокий балл и вернуть файлы. Оригинальное название проекта: Tear Dr0p.pdb. На файле написано: Tear Dr0p.exe. Комментарий: Tear Dr0p - Joke ransomware program. Разработчик: Tear Dr0p.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Tear Dr0p

К зашифрованным файлам добавляется расширение .teardr0p

Активность этого крипто-вымогателя пришлась на начало февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Your files have been encrypted with AES, using 256 bit private key

You're really unlucky ):
You have been infected with "TEAR DR0P" ransomware, oh no I've encrypted your files!
First of all DO NOT remove the " .teardr0p" from the files! This tells the decryptor what files to decrypt!

Fear not, this isn't one of those "pay to unlock" ransomware, you just have to pass the "test"

You can do one (or more) of the following)
1: Pass the "test" and I'll decrypt your files!
2: Crack the program and find the decryption key!
3: Remove "Tear Dr0p.exe" from your App Data folder (You won't get your encrypted files back though)

Перевод текста на русский язык:
Ваши файлы зашифрованы с AES, используя 256-битный закрытый ключ

Вам действительно не повезло):
Вы заражены "TEAR DR0P" ransomware, о нет, я зашифровал ваши файлы!
Прежде всего НЕ удаляйте ".teardr0p" из файлов! Это говорит декриптору, как файлы дешифровать!

Не бойтесь, это не одна из тех, вымогателей "плата за разблок", вам просто нужно пройти "тест",

Вы можете сделать одно (или более) из следующего)
1: Пройти "тест" и я расшифрую ваши файлы!
2: Взломать программу и найдите ключ дешифрования!
3: Удалить "Tear Dr0p.exe" из папки App Data (но тогда вы не вернёте свои зашифрованные файлы)


Звуковые сообщения:
"Your files have been encrypted with AES, using 256 bit private key" 
"please cry more"
"hahaha your files have been encrypted, please cry more" 
"Invaild points cannot decrypt ): Play the game and get a high score to decrypt your files.." 

Перевод сообщения на русский язык:
"Ваши файлы зашифрованы с AES, используя 256-битный закрытый ключ"
"пожалуйста, плачьте больше"
"Хахаха, ваши файлы зашифрованы, пожалуйста, плачьте больше"
"Недопустимые точки не расшифровать): Играйте в игру и получите высокий балл для расшифровки ваших файлов.."

Предлагаемая игра-тест от вымогателя



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.7z, .c, .cpp, .doc, .docx, .gif,.htm, .html, .java, .jpeg. .zip, .jpg, .mp3, .mp4, .ogg, .pdf, .phtml, .png, .rar, .sql, .svg, .txt, .vb, .xhtml, .xls, .xml, .zipx (26 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Tear Dr0p.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 31 января 2018 г.

MindLost

MindLost Ransomware

Aliases: DeeRansomware, Paggalangrypt

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 200$ через кредитную / дебетовую карту, чтобы вернуть файлы. Оригинальное название: MindLost и Encryptor. На файле написано: Encryptor.exe и DeeRansomware.exe.

Обнаружения:  
DrWeb -> Trojan.Encoder.24412
BitDefender -> Trojan.Autoruns.GenericKD.41891924
ALYac -> Trojan.Ransom.MindLost
ESET-NOD32 -> A Variant Of MSIL/Filecoder.LL
Kaspersky -> Trojan.Win32.Agent.qwfqbk
Microsoft -> Ransom:MSIL/Paggalangrypt.A!rsm
Symantec -> Trojan.Gen.2
TrendMicro -> Ransom_MINDLOST.CNO

© Генеалогия: семейство Paggalangrypt > MindLost

К зашифрованным файлам добавляется расширение .enc

Обнаружение этого крипто-вымогателя пришлось на середину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Запиской с требованием выкупа выступает изображение, загружаемое через онлайн-сервис imgbb.com


Содержание текста иски о выкупе:
Don't Lose Your Mind But All Of Files Have Been Encrypted
Now it's not too late, you can still get them back and go back to your life. All you have to do is go to xxxx://mindlost.azurewebsites.net and pay 200$ and all of yor files will be available to you again. 
When paying (and you will) enter your computer"s ID. You can find your computer"s ID in a file called ID.txt in your Desktop filder. Afterwards enter your credit card information to complete the payment. 
Now you can also purchase an insurance for an extra 50$. This means you will never be attacked by us again. This is strongly advised unless you want to go through all this again. 
When you finish paying just go to your Desktop folder, run Decrypter.exe and all of your files will be safety decrypted and available to you again. 
Q: What does it mean that all of my files have been encrypted?
A: All of your files are safe and can be restired. They are simply not accessible to you unless you have the key to decrypt them which we will only provide if you pay us. Also don"t bother trying to break the encryption it's not possible. 
For more information you can go to xxxxs://en.wikipedia.org/wiki/Advanced_Encryption_Standard or at xxxx://mindlost.azurewebsites.net

Перевод текста на русский язык:
Не теряйте разум, но все файлы зашифрованы
Еще не поздно, вы всё равно можете вернуть их и вернуться к своей жизни. Всего лишь нужно перейти на xxxx://mindlost.azurewebsites.net и заплатить 200$, и все ваши файлы вернутся к вам.
При оплате (и вы захотите) введите свой ID компьютера. Найти ID вашего компьютера можно в файле ID.txt на вашем рабочем столе. Затем введите данные своей кредитной карты для завершения платежа.
Сейчас вы можете также приобрести страховку за еще 50 $. Это значит, что вы больше никогда не будете атакованы нами. Это очень рекомендуется, если не хотите повторить все это снова.
Когда вы заплатите, просто перейдите на Рабочий стол, запустите Decrypter.exe и все ваши файлы дешифруются и будут доступны для вас.
Вопрос: Что значит, что все мои файлы были зашифрованы?
Ответ: Все ваши файлы в безопасности и могут быть восстановлены. Они просто недоступны вам, если у вас нет ключа для их расшифровки, который мы дадим вам, когда заплатите нам. И не пытайтесь сломать шифрование, это невозможно.
Для информации можете перейти на xxxxs://en.wikipedia.org/wiki/Advanced_Encryption_Standard или xxxx://mindlost.azurewebsites.net



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ MindLost прописывается в Автозагрузку системы, чтобы работать и после перезагрузки ПК. 

➤ MindLost шифрует файлы и перенаправляет пользователей на сайт MindLost, чтобы заплатить выкуп через кредитную / дебетовую карту.

➤ MindLost использует онлайн-сервис xxxx://imgbb.com/ для бесплатной загрузки изображений с требованиями выкупа.

Список файловых расширений, подвергающихся шифрованию:
.c, .jpg, .mp3, .mp4, .pdf, .png, .py, .txt
Это документы PDF, фотографии, музыка, видео и пр.

Шифровальщик пропускает файлы в следующих директориях:
Windows
Program Files
Program Files (x86)

Файлы, связанные с этим Ransomware:
Encryptor.exe
Decrypter.exe
ID.txt
wallpaper.bmp
<random>.exe
3944a5cef4ba7955496e1e94a658bbnalysis_subject.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Users\Johnson\AppData\Local\Temp\3944a5cef4ba7955496e1e94a658bbnalysis_subject.exe

Записи реестра, связанные с этим Ransomware:
HKU\S-1-5-21-3712457824-2419000099-45725732-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN   "WindowsEnc"
См. ниже результаты анализов.

Мьютекс:
Global\CLR_PerfMon_WrapMutex

Сетевые подключения и связи:
xxxx://mindlost.azurewebsites.net
xxxx://imgbb.com/
xxxx://image.ibb.co/kO6xZ6/insane_uriel_by_urielstock_1.jpg - с любой цифрой
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >>  VT>>
Intezer анализ >>  IA>>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, BleepingComputer
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles. 

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *