Если вы не видите здесь изображений, то используйте VPN.

четверг, 12 апреля 2018 г.

Java NotDharma

Java NotDharma Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: неизвестно. На файле может быть написано, что угодно. Предназначен для ПК под управлением Windows x64. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: ✂ Dharma > Java NotDharma

К зашифрованным файлам добавляется расширение .java

Активность этого крипто-вымогателя была в апреле 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Decrypt Instructions.txt
Java NotDharma Ransomware

Содержание записки о выкупе:
All of your files are encrypted, to decrypt them write us to email: ffgghtdfg@cock.li

Перевод записки на русский язык:
Все ваши файлы зашифрованы, для расшифровки пишите нам на email: ffgghtdfg@cock.li



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов, а также бэкапы, сделанные программами для резервного копирования, например, StorageCraft.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
Decrypt Instructions.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ffgghtdfg@cock.li
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 (victim in the topics of support)
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CyberResearcher

CyberResearcher Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2.5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Cyberresearcher.exe и Virus Scan.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> CyberResearcher

К зашифрованным файлам добавляется расширение .CYBERRESEARCHER

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.html

Содержание записки о выкупе:
CYBERRESEARCHER
Your files have been encrypted by CYBERRESEARCHER
Send 2.5 Bitcoins to 126HY2x4gBWDxzff3PRi8hrcqoHpgNSvr6
Your files will be deleted permanently if the Bitcoins are not sent in the next 48 hours

Перевод записки на русский язык:
CYBERRESEARCHER
Ваши файлы зашифрованы CYBERRESEARCHER
Пришлите 2.5 биткоина на 126HY2x4gBWDxzff3PRi8hrcqoHpgNSvr6
Ваши файлы будут удалены навсегда, если биткоины не отправите за 48 часов



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Cyberresearcher.exe
<random>.exe - случайное название
READ_IT.html

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://cyberresearcher.com/ransomware/write.php***
BTC: 126HY2x4gBWDxzff3PRi8hrcqoHpgNSvr6См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 11 апреля 2018 г.

MauriGo

MauriGo Ransomware

MauriEncoder Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей и корпоративных сетей с помощью AES-256 (режим CTR), а затем требует выкуп в 0.7-2.6 BTC, чтобы вернуть файлы. Оригинальное название. Написан на языке Go. Разработчик: mauri870. 

© Генеалогия: ранний Ransomware от mauri870 > MauriGo > MauriEncoder

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на середину марта - начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_TO_DECRYPT.txt 

Содержание записки о выкупе:
The important files on your computer have been encrypted with military grade AES-256 bit encryption.
Your documents, videos, images and other forms of data are now inaccessible, and cannot be unlocked without the decryption key.
This key is currently being stored on a remote server. 
To acquire this key, please follow the instructions below before the time runs out. (2018-04-19 12:34:51 - you have 7 days)
Prices to recover yoor files from :
1 machine on your network : 0.7 BTC
Half machines on your network (randomly chosen): 2.6 BTC
All machines on your network : 5 BTC
The BTC must be sent to this address : 19CMTC6U9KMHAn34iKXvofkA2ulNMcd823
Your hostname : trololol-PC
Your identification number (it is the same for all PC encrypted on your network): ***
After you've send payment to our address, please go to our website (via normal browser):
xxxx://ldqu4hxg2gx6af7j.onion.plus/id/***
xxxx://ldqu4hxg2gx6af7j.onion.link/id/***
xxxx://ldqu4hxg2gx6af7j.tor2web.ch/id/***

If it doesn't work please download Tor Browser on their official page and use this link instead: xxxx://ldqu4hxg2gx6af7j.onion/id/***
Once on the website, leave a simple comment to warn us.
After that we will reply with your decryption key(s) as soon as possible.
To demonstrate our sincerity, you can upload 2 encrypted file on the website and we will decrypt it.
Also please understand that we don't want to taint the reliability of your business. Make a reasonable choice.
Note that if you fail to take action within this time window (7 days), the decryption key will be destroyed and access to your files will be
permanently lost.
Where to buy bitcoins (BTC) ?
Bitcoin is a popular crypto-currency. We advise you to buy coins on https://localbitcoins.com/ because of its speed and anonymity.
You will can pay with Western Union. Wire Transfer...
Of course there are much other ways to get bitcoins (ex: Coinbase), simply type on google "how to buy bitcoins".

Перевод записки на русский язык:
Важные файлы на вашем компьютере были зашифрованы с шифрованием военного класса AES-256.
Ваши документы, видео, изображения и другие формы данных теперь недоступны и не могут быть разблокированы без ключа дешифрования.
Этот ключ в настоящее время хранится на удаленном сервере.
Чтобы получить этот ключ, следуйте приведенным ниже инструкциям до истечения времени. (2018-04-19 12:34:51 - у вас есть 7 дней)
Цены на восстановление ваших файлов от:
1 машина в вашей сети: 0.7 BTC
половина машин в вашей сети (случайно выбранная): 2.6 BTC
все машины в вашей сети: 5 BTC
BTC необходимо отправить по этому адресу: 19CMTC6U9KMHAn34iKXvofkA2ulNMcd823
Ваше имя: trololol-PC
Ваш идентификационный номер (он одинаков для всех ПК, зашифрованных в вашей сети): ***
После того как вы отправите платеж на наш адрес, перейдите на наш веб-сайт (через обычный браузер):
хххх://ldqu4hxg2gx6af7j.onion.plus/id/***
хххх://ldqu4hxg2gx6af7j.onion.link/id/***
хххх://ldqu4hxg2gx6af7j.tor2web.ch/id/***
Если он не работает, загрузите Tor-браузер на их официальной странице и используйте вместо этого ссылку: xxxx://ldqu4hxg2gx6af7j.onion/id/***
На веб-сайте оставьте простой комментарий, чтобы предупредить нас.
После этого мы ответим с вашим ключом дешифрования как можно быстро.
Чтобы продемонстрировать нашу искренность, вы можете загрузить 2 зашифрованных файла на веб-сайт, и мы расшифруем их.
Также, пожалуйста, поймите, что мы не хотим испортить надежность вашего бизнеса. Сделайте разумный выбор.
Обратите внимание: если вы не сможете принять меры в течение этого временного окна (7 дней), ключ дешифрования будет уничтожен, и доступ к вашим файлам будет потерян.
Где купить биткоины (BTC)?
Биткоин - популярная криптовалюта. Мы советуем вам покупать монеты на https://localbitcoins.com/ из-за его скорости и анонимности.
Вы можете оплатить с Western Union. Передача по проводам...
Конечно, есть много других способов получить биткоины (например: Coinbase), просто введите в google "how to buy bitcoins".



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ В систему также устанавливается майнер криптовалюты, который выполняет команду: 
wininiv.exe -o xmr.crypto-pool.fr:80 -u 48fVrHZuvLY8vFP19bVtqhD9yY3TL8HRqW8JM6MbtvvnTJ2icAQJogHCByJP6yPEKdewUKrKGS1ThJamQm6m5idLCiEkPVv -p x -k -B --donate-level=1 -t 2

 Возможно, что учебный проект от mauri870 был использован другими людьми, которые прикрутили к нему майнер. Или он сам доработал его таким образом. О пострадавших пока неизвестно. 

 Антивирусные движки определяют наличие майнера (CoinMiner) и PowerShell. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
wininiv.exe
xmrig.rar
<random>.exe - случайное название
ransomware.exe
server.exe
READ_TO_DECRYPT.txt 

Расположения:
\Desktop\ ->
\User_folders\ ->
%WINDIR%\Temp\wininiv.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://github.com/mauri870/ransomware
xxxx://xmr.crypto-pool.fr/
xxxx://ldqu4hxg2gx6af7j.onion/id/
xxxx://ldqu4hxg2gx6af7j.onion.plus
xxxx://ldqu4hxg2gx6af7j.onion.link
xxxx://ldqu4hxg2gx6af7j.tor2web.ch
BTC: 19CMTC6U9KMHAn34iKXvofkA2ulNMcd823
xxxx://tejsqel5npztqnee.onion.link/fa1304fdec7f909d27de6ea97ce79da7/index.php
xxxx://ldqu4hxg2gx6af7j.onion.link/
xxxx://dstormer6em3i4km.onion.link/
xxxx://eowxgliaujppfl7m.onion.link/hj2gr/public/tsfUlOc.bin
xxxx://xiwayy2kn32bo3ko.onion.link/test/read.cgi/ura/1380576973/l50
XMR-кошелёк: 
48fVrHZuvLY8vFP19bVtqhD9yY3TL8HRqW8JM6MbtvvnTJ2icAQJogHCByJP6yPEKdewUKrKGS1ThJamQm6m5idLCiEkPVv
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>  HA wininiv.exe >>
𝚺  VirusTotal анализ >>  VT wininiv.exe >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 15 января 2019:
Расширение: .encrypted
Записка: README.html 
Файл: Encoder.exe
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.26998
BitDefender -> Trojan.GenericKD.40958058
ESET-NOD32 -> A Variant Of Win32/Filecoder.NUD
Kaspersky -> Trojan-Ransom.Win32.Crypmodadv.yav
Malwarebytes -> Trojan.Dropper
Rising -> Malware.Heuristic.MLite(95%) (AI-LITE:uvQ*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> CallRansom_Crypmodadv.R011C0WAH19




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MauriGo)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

вторник, 10 апреля 2018 г.

Iron Locker

Iron Ransomware

Iron Locker Ransomware

Iron Unlocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует выкуп в 0.2-0.5-1.1 BTC, чтобы вернуть файлы. Оригинальное название: Iron Locker. На файле написано: ado64.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Maktub Locker >> Iron Locker

К зашифрованным файлам добавляется расширение .encry

Изображение с сайта вымогателей

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !HELP_YOUR_FILES.HTML

Содержание записки о выкупе:
WARNING!
Your personal files are encrypted.
11:44:18
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. The server will eliminate the key after a time period specified in this window.
Open xxxx://y5mogzal2w25p6bn.mlor
xxxx://y5mogzal2w25p6bn.mlor
xxxx://y5mogzal2w25p6bn.ml
in your browser. They are public gates to the secret server.
The website can help you complete the decryption work automatically.
You could also send 0.2 BTC to 1cimKyzS64PRNEiG89iFU3qzckVuEQuUj
and contact this email recoverfile@mail2tor.com with below ID.
Write in the following personal ID in the input from on server:
5acf9aad008a15062d3685f5

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ!
Ваши личные файлы зашифрованы.
11:44:18
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с самым сильным шифрованием и уникальным ключом, созданным для этого компьютера. Закрытый ключ дешифрования хранится на секретном интернет-сервере, и никто не сможет расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ. Сервер удалит ключ после периода времени, указанного в этом окне.
Откройте xxxx://y5mogzal2w25p6bn.ml или 
xxxx://y5mogzal2w25p6bn.ml или 
xxxx://y5mogzal2w25p6bn.ml
в вашем браузере. Это публичные ворота на секретный сервер.
Веб-сайт может помочь вам завершить работу по расшифровке автоматически.
Вы также можете отправить 0.2 BTC на 1cimKyzS64PRNEiG89iFU3qzckVuEQuUj
и контакт по email recoverfile@mail2tor.com с ID ниже.
Напишите в следующем личный ID для входа на сервер:
5acf9aad008a15062d3685f5

Запиской с требованием выкупа также выступает экран блокировки. 

***  в процессе

Другим информатором жертвы выступает сайт вымогателей, дизайн которого скопирован у сайта Maktub Locker:

Содержание текста с сайта (по страницам):
36:08:36
During this time you need to make a payment or the price will be increased.
---

HELLO!
We’re very sorry that all of your personal files have been encrypted :( But there are good news – they aren’t gone, you still have the opportunity to restore them! Statistically, the lifespan of a hard-drive is anywhere from 3 to 5 years. If you don’t make copies of important information, you could lose everything! Just imagine! In order to receive the program that will decrypt all of your files, you will need to pay a certain amount. But let’s start with something else…
---

WE ARE NOT LYING!
It's easy to delete the program from your personal computer. But not one of the third party programs will be able to do the most important thing – to decrypt your files! In order to do this, you need to have the private master-key that only we have. And only we can restore all of your files.
---

HOW MUCH DOES IT COST?
We hope that you are convinced that we can decrypt all of your files. Now, the most important thing! The faster you transfer the money, the cheaper file decryption will be. At every stage of payment, you get 3 days or 72 hours. You can see the countdown in the right top corner. After the clock shows 00:00:00 you go to the next stage of payment and the price automatically increases. We only accept the electronic currency Bitcoin as a form of payment. Here is a table that shows the date of payment and the price. Your current stage is marked in yellow.

 Stage Time of payment How much money should be sent
> 1 During the first 3 days 0.2 BTC (~$1200)
2 From 3 to 6 days 0.5 BTC (~$3000)
3 From 6 to 9 days 0.8 BTC (~$4800)
4 From 9 to 12 days 1.1 BTC (~$6600)
5 From 12 to 15 days 1.4000000000000001 BTC (~$8400)
6 (*) More than 15 days 1.7000000000000002 BTC (~$10200)

(*) After 15 days of no payment, we do not guarantee that we saved the key. This site can be disconnected at any moment and you will lose your data forever.
Please take this seriously.
---

WHERE DO I PAY?
The whole process of payment confirmation is automated! As soon as you send the money, it will only take 1 minutes for the system to automatically count them and create the program that will decode your files.
After sending your payment just refresh this site after 1 minutes(or go to homepage input your personal ID).
You must transfer 0.2 BTC to the following address:
1LDkJupTBUYsZgUREAknxFx6tQUjKRUT4o
Number File Name Size
Link
0 IronUnlocker.exe unknown Download
1 5acf9aad008a15062d3685f4.key unknown Download
---

BITCOIN PURCHASE
If this is the first time you heard about Bitcoin, don’t despair! Simply google this word and you will find all the answers. We can just recommend a few sites that will be of use to you.
Buying Bitcoins - This page aims to be the best resource for new users to understand how to buy Bitcoins
Localbitcoins (WU) - Buy Bitcoins with Western Union
Coincafe.com - Recommended for fast, simple service. Payment Methods: Western Union, Bank of America,Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, In Person
LocalBitcoins.com - Service allows you to search for people in your community willing to sell bitcoins to you directly
btcdirect.eu - THE BEST FOR EUROPE
coinrnr.com - Another fast way to buy bitcoins
bitquick.co - Buy Bitcoins Instantly for Cash
How To Buy Bitcoins - An international directory of bitcoin exchanges
Cash Into Coins - Bticoin for cash
CoinJar - CoinJar allows direct bitcoin purchases on their site
ZipZap - Global cash payment network enabling consumers to pay for digital currency

Перевод текста на русский язык:
*** думаю, что нет нужды в переводе этого текста ***




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет исходные файлы после шифрования, а также очищает корзину. 
 Не удаляет теневые копии файлов или точки восстановления.
 Iron Locker создаёт новый случайный GUID и использует его как мьютекс, чтобы не заразить ПК второй раз. 
 На сервер отправляются: ключ шифрования, GUID, время шифрования и пр. C2-сервер отвечает другим набором значений и генерирует уникальный биткоин-адрес, из-за чего жертвы могут дважды платить по разным адресам. Не платите выкуп!

Список файловых расширений, подвергающихся шифрованию:
.001, .1cd, .3fr, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .abk, .ade, .adpb, .adr, .aip, .amxx, .ape, .api, .apk, .arch00, .aro, .arw, .asa, .ascx, .ashx, .asmx, .asp, .asr, .asset, .bar, .bay, .bc6, .bc7, .bi8, .bic, .big, .bin, .bkf, .bkp, .blob, .blp, .bml, .bp2, .bp3, .bpl, .bsa, .bsp, .cab, .cap, .cas, .ccd, .cch, .cer, .cfg, .cfr, .cgf, .chk, .class, .clr, .cms, .cod, .col, .con, .cpp, .cr2, .crt, .crw, .csi, .cso, .css, .csv, .ctt, .cty, .cwf, .d3dbsp, .dal, .dap, .das, .DayZProfile, .db0, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .desc, .dev, .dex, .dic, .dif, .dii, .disk, .dmg, .dmp, .dob, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dxg, .elf, .epk, .eql, .erf, .esm, .f90, .fcd, .fla, .flp, .for, .forge, .fos, .fpk, .fpp, .fsh, .gam, .gdb, .gho, .grf, .h3m, .h4r, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .img, .indd, .ipa, .iso, .isu, .isz, .itdb, .itl, .itm, .iwd, .iwi, .jar, .jav, .java, .jpe, .kdc, .kmz, .layout, .lbf, .lbi, .lcd, .lcf, .ldb, .ldf, .lgp, .litemod, .lng, .lrf, .ltm, .ltx, .lvl, .m3u, .m4a, .map, .mbx, .mcd, .mcgame, .mcmeta, .md0, .md1, .md2, .md3, .mdb, .mdbackup, .mddata, .mdf, .mdl, .mdn, .mds, .mef, .menu, .mm6, .mm7, .mm8, .moz, .mpq, .mpqge, .mrwref, .mxp, .ncf, .nds, .nrg, .nri, .nrw, .ntl, .odb, .odf, .odp, .ods, .odt, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pbp, .pef, .pem, .pfx, .pkb, .pkh, .pkpass, .plc, .pli, .pot, .potm, .potx, .ppf, .ppsm, .pptm, .prc, .prt, .psa, .pst, .ptx, .pwf, .pxp, .qbb, .qdf, .qel, .qic, .qpx, .qtr, .r3d, .raf, .re4, .res, .rgn, .rgss3a, .rim, .rofl, .rrt, .rsrc, .rsw, .rte, .rw2, .rwl, .sad, .sav, .sc2save, .scm, .scx, .sdb, .sdc, .sds, .sdt, .shw, .sid, .sidd, .sidn, .sie, .sis, .slm, .slt, .snp, .snx, .spr, .sql, .sr2, .srf, .srw, .std, .stt, .sud, .sum, .svg, .svr, .swd, .syncdb, .t01, .t03, .t05, .t12, .t13, .tar.gz, .tax, .tcx, .thmx, .tlz, .tor, .torrent, .tpu, .tpx, .ttarch2, .tur, .txd, .txf, .uax, .udf, .umx, .unity3d, .unr, .uop, .upk, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vcd, .vdf, .ver, .vfs0, .vhd, .vmf, .vmt, .vpk, .vpp_pc, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wb2, .wdgt, .wks, .wmdb, .wmo, .wotreplay, .wpd, .wpl, .wps, .wtd, .wtf, .x3f, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xlsb, .xltx, .xlv, .xlwx, .xpi, .xpt, .yab, .yps, .z02, .z04, .zap, .zipx, .zoo, .ztmp (374 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы игр (Steam - .vdf, World of Tanks - .wotreplay, DayZ - .DayZProfile) и пр.

При шифровании пропускаются следующие папки: 
Windows, windows, Microsoft, Mozilla Firefox, Opera, Internet Explorer, Temp, Local, LocalLow, $Recycle.bin, boot, i386, st_v2, intel, recycle, 360rec, 360sec, 360sand, internet explorer, msbuild

Файлы и папки, связанные с этим Ransomware:
<random>.exe - случайное название
iron_locker.exe
!HELP_YOUR_FILES.HTML
\crypto\asn1\
\crypto\bn\
\crypto\cms\
\crypto\conf\
\crypto\dsa\
\crypto\ec\
\crypto\ecdh\
\crypto\ecdsa\
\crypto\engine\
\crypto\err\
\crypto\evp\
\crypto\hmac\
\crypto\lhash\
\crypto\objects\
\crypto\pem\
\crypto\pkcs7\
\crypto\rand\
\crypto\rsa\
\crypto\stack\
\crypto\ui\
\crypto\x509\

Расположения:
\Desktop\ ->
\User_folders\ ->
\crypto\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://myip.dnsomatic.com (67.215.92.215) - проверка IP-адреса
C2: xxxx://y5mogzal2w25p6bn.ml (104.31.69.125) - C2 и сайт вымогателей
Email для связи: recoverfile@mail2tor.com
Email в ответе: oldblackjack@outlook.com
BTC: 1cimKyzS64PRNEiG89iFU3qzckVuEQuUj
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Maktub Locker Ransomware — март 2016 г. 
Iron Locker Ransomware — апрель 2018 г.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 27 июня 2018:
Пост в Твиттере >>
URL: vfk2k5s5tfjr27tz.tk
Результаты анализов: VT + IA


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as Iron)
 Write-up, Topic of Support
 * 
  - видеобзор сделан с помощью сервиса ANY.RUN
 Thanks: 
 MalwareHunterTeam, Bart
 ANY.RUN, Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 7 апреля 2018 г.

Horros

Horros Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем должен требовать выкуп, чтобы вернуть файлы, но не найдено никакой записки о выкупе. Оригинальное название: FileEncrypterНа файле написано: FileEncrypter.exe. Среда разработки: Visual Studio 2017. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Horros

К зашифрованным файлам добавляется расширение .horros

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.  

Записка с требованием выкупа называется: не найдена. 
Вероятно, пока находится в разработке. 

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Используется .NET Framework 4.7.1

➤ Не обходит UAC. Требуется разрешение на запуск. 

Список файловых расширений, подвергающихся шифрованию:
.3dm, .7z, .7zip, .accdb, .ai, .asp, .bmp, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .eps, .fla, .gif, .ico, .indd, .jar, .java, .jpeg, .jpg, .js, .max, .mdb, .msg, .pdb, .pdf, .php, .png, .ps, .psd, .py, .rar, .raw, .rb, .rtf, .sdf, .sql, .svg, .swf, .tif, .txt, .vcf, .wpd, .wps, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xml, .zip (66 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
FileEncrypter.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >> +VT >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 🎥 Video review
 - Видеообзор предоставлен CyberSecurity GrujaRS
 Thanks: 
 Leo, Michael Gillespie
 CyberSecurity GrujaRS
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *