Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 6 мая 2018 г.

Scarab-Horsia

Scarab-Horsia Ransomware

horsia, horse, horsuke, saviours, bestdeal, filedecryption, mr.leen

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные на серверах с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Horsia (указано в записке о выкупе и в логине email). На файле написано: нет данных. Зашифрованные до 18 июня 2018 года файлы можно дешифровать! 

© Генеалогия: Scarab > Scarab семейство > Scarab-Horsia
© Genealogy: Scarab > Scarab Family > Scarab-Horsia

К зашифрованным файлам добавляется расширение / Appends to encrypted files the extension:
.horsia@airmail.cc

Названия файлов не меняются. 

Примеры зашифрованных файлов Examples of encrypted files:
Video123.avi.horsia@airmail.cc
Photo123.png.horsia@airmail.cc
Document123.docx.horsia@airmail.cc

Изображение принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на начало мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется / Name of ransom note:  
HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе / Contents of ransom note:
=======================================
                         ________________________________
                        / __/ / / __  / / __  / /  __/ /  __/  / __  /
                       / __  / / /_/ / /    _/  /__  / _/ /_   / __  /
                      \/ __/  \___/  \/\__\ \___/  \___/  \/  __/
=======================================
Your files are now encrypted!
Your personal identifier:
6A02000000000000***C4BFD00
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: horsia@airmail.cc
If you don't get a reply or if the email dies, then contact us to saviours@airmail.cc
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins? 
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click  'Buy bitcoins', and select the seller by payment method and price: 
   https://localbitcoins.com/buy_bitcoins 
 * Also you can find other places to buy Bitcoins and beginners guide here:   
   http://www.coindesk.com/information/how-can-i-buy-bitcoins 
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  (they add their fee to our) or you can become a victim of a scam.  
=======================================

Перевод записки на русский язык:
=======================================
                         ________________________________
                        / __/ / / __  / / __  / /  __/ /  __/  / __  /
                       / __  / / /_/ / /    _/  /__  / _/ /_   / __  /
                      \/ __/  \___/  \/\__\  \___/ \___/  \/  __/
=======================================
Ваши файлы теперь зашифрованы!
Ваш личный идентификатор:
6A02000000000000***C4BFD00
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК.
Теперь вы должны отправить нам email с вашим личным идентификатором.
Это письмо будет подтверждением, что вы готовы заплатить за ключ дешифрования.
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, как быстро вы пишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Свяжитесь с нами, используя этот email-адрес: horsia@airmail.cc
Если вы не получите ответ или письмо пропадёт, свяжитесь с нами по email-адресу saviours@airmail.cc
Бесплатное дешифрование в качестве гарантии!
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования.
Общий размер файлов должен быть меньше 10 Мб (без архивирования), а файлы не должны содержать ценную информацию (базы данных, резервные копии, большие листы Excel и т.д.).
Как получить биткойны?
 * Самый простой способ купить биткоины - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене:
   https://localbitcoins.com/buy_bitcoins
 * Также вы можете найти другие места для покупки биткоинов и руководства для начинающих здесь:
   http://www.coindesk.com/information/how-can-i-buy-bitcoins
Внимание!
 * Не переименовывайте зашифрованные файлы.
 * Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных.
 * Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.
=======================================


Другим информатором жертвы выступает изоражение, заменяющее обои Рабочего стола.
Scarab-Horsia




Технические детали / Technical details

Распространяется путём взлома через незащищенную конфигурацию RDP с помощью хакерских инструментов.

Может также распространяться email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ ID содержит 646 знаков. В этом семействе замечены ID с количеством знаков от 644 до 652. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами: 
 cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keep
 wbadmin.exe wbadmin DELETE SYSTEMSTATEBACKUP -keep
 cmd.exe /c wmic SHADOWCOPY DELETE
 WMIC.exe wmic SHADOWCOPY DELETE
 cmd.exe /c vssadmin Delete Shadows /All /Quiet
 vssadmin.exe vssadmin Delete Shadows /All /Quiet
 cmd.exe /c bcdedit /set {default} recoveryenabled No
 bcdedit.exe bcdedit /set {default} recoveryenabled No
 cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
 bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
HOW TO RECOVER ENCRYPTED FILES.TXT

Расположения / Files locations:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Email-1: horsia@airmail.cc
Email-2: saviours@airmail.cc
См. ниже результаты анализов.

Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
и другие



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Я не могу гарантировать публикацию всех реальных вариантов Rw.
Я не могу гарантировать полной достоверности всех обновлений Rw. 

Обновление от 16 мая 2018:
Пост в Твиттере >>
Расширение: .HORSE
Email-1: saviours@airmail.cc
Email-2: bestdeal@firemail.cc
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
ID имеет 650 знаков

Обновление от 16 мая 2018:
Пост в Твиттере >>
Расширение: .horsuke@nuke.africa
Email-1: horsuke@nuke.africa
Email-2: saviours@airmail.cc
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
ID имеет 644 знака
Файл: inside.exe
Результаты анализов: VT + HA
 Scarab-Horsia
Скриншот записки и обоев от вымогателей



Обновление от 7 июня 2018:
Расширение: .good
Названия файлов не меняются. 
Email: filedecryption@protonmail.com
Записка о выкупе: HOW TO RECOVER ENCRYPTED FILES.TXT
Текст записки о выкупе аналогичен предыдущим вариантам.
ID содержит 648 знаков. 

Обновление от 14 июня 2018:
Пост в Твиттере >>
Расширение: .leen
Названия файлов не меняются. 
Email: mr.leen@protonmail.com
Записка о выкупе: INSTRUCTIONS FOR RESTORING FILES.TXT
Текст записки о выкупе аналогичен предыдущим вариантам.
ID содержит 652 знака. 
Скриншот записки

Обновление от 15 августа 2018:
Расширение: .good
Названия файлов не меняются.
Email: BM-2cUPRnXJRuFYKcDUCLugjrCPY58nrvHrAV@bitmessage.ch
Записка о выкупе:  HOW TO RECOVER ENCRYPTED FILES.TXT
Записки о выкупе аналогичные предыдущим.
ID содержит 648 знаков.

Обновление от 26 ноября 2018:
Расширение: .fast
Названия файлов не меняются.
Email: BM-2cUPRnXJRuFYKcDUCLugjrCPY58nrvHrAV@bitmessage.ch
Записка о выкупе:  HOW TO RECOVER ENCRYPTED FILES.TXT
ID содержит 648 знаков.
Scarab-Horsia
➤ Содержание записки: 
Hello!
All your files have been encrypted!
Dont worry, you can return all your files!
Your ID:
6A02000000000000***290F11F
If you want restore files, then write me on e-mail:
BM-2cUPRnXJRuFYKcDUCLugjrCPY58nrvHrAV@bitmessage.ch
Free decryption as guarantee!
Send me your ID and 1-2 small encrypted files(The total size of files must be less than 1Mb (non archived)) for free decryption. 
After that, I'll tell you the price for decryption all files. 
After payment we will send you the decryption tool that will decrypt all your files. 
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.  
How to obtain Bitcoins? 
 * The easiest way to buy bitcoins is LocalBitcoins site https://localbitcoins.net . 
 * You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.net/buy_bitcoins
 * Later for payment use link https://localbitcoins.net/accounts/wallet/

=== 2019 ===

Обновление от 5 января 2019: 
Расширение: .local
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: BM-2cUPRnXJRuFYKcDUCLugjrCPY58nrvHrAV@bitmessage.ch
Scarab-Horsia
➤ Содержание записки: 
Hello!
All your files have been encrypted!
Dont worry, you can return all your files!
Your ID:
+4IAAAAAAACo=eYJ***FJfy4M
If you want restore files, then write me on e-mail:
BM-2cUPRnXJRuFYKcDUCLugjrCPY58nrvHrAV@bitmessage.ch
Free decryption as guarantee!
Send me your ID and 1-2 small encrypted files(The total size of files must be less than 1Mb (non archived)) for free decryption. 
After that, I'll tell you the price for decryption all files. 
After payment we will send you the decryption tool that will decrypt all your files. 
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.  
How to obtain Bitcoins? 
 * The easiest way to buy bitcoins is LocalBitcoins site https://localbitcoins.net . 
 * You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.net/buy_bitcoins
 * Later for payment use link https://localbitcoins.net/accounts/wallet/

Обновление от 15 апреля 2019:
Расширение: .burn
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: BM-2cUPRnXJRuFYKcDUCLugjrCPY58nrvHrAV@bitmessage.ch
Scarab-Horsia




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Emmanuel_ADC-Soft >>
---
Attention!
It is very likely that the files can be decrypted!
I recommend getting help with this link to Emmanuel_ADC-Soft >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 🎥 Video review by CyberSecurity GrujaRS >>
  <- Видео-обзор Scarab-Horsia с расширением .HORSE
 <- Видео-обзор Scarab-Horsia с расширением .horsuke@nuke.africa
 Thanks: 
 (victim in the topics of support)
 Michael Gillespie, S!Ri
 Andrew Ivanov
 Emmanuel_ADC-Soft
 

© Amigo-A (Andrew Ivanov): All blog articles.

Эта статья содержит описание 1000-го Ransomware!

суббота, 5 мая 2018 г.

BKRansomware

BKRansomware Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует послать деньги на телефон во Вьетнаме, чтобы вернуть файлы. Оригинальное название: BKRansomware. На файле написано: BKRansomware.exe. Среда разработки: Visual Studio 2013. Разработчик: Nguyễn Hoàng Hải (из Вьетнама).

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .hainhc

Активность этого крипто-вымогателя пришлась на начало мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает следующий экран:


Содержание записки о выкупе:
send 50k viettel to 0963210438 to restore your data

Перевод записки на русский язык:
пошли 50k viettel на 0963210438 для возврата твоих файлов



Технические детали

Разработчик Nguyễn Hoàng Hải назвал себя в Твиттере и сообщил, что использовал BKRansomware для тестирования и не распространял его. Возможно, что кто-то другой воспользовался его разработкой. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Файлы на самом деле не зашифрованы, а закодированы с помощью ROT23. 

Список файловых расширений, подвергающихся шифрованию:
.bmp, .c, .chm, .cpp, .doc, .docx, .jpg, .png, .pptx, .py, .pyc, .pyd, .pyo, .pyw, .sql (15 расширений), но может и больше. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BKRansomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Users\User_Name\AppData\Local\Temp\BKRansomware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Bart
 GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 28 апреля 2018 г.

GandCrab-3

GandCrab-3 Ransomware

(шифровальщик-вымогатель) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее для пострадавших из РоссииБеларусиКазахстана, Украины >>>

Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA-2048 для ключа, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GandCrab Ransomware v3. На файле написано: toalatspring.exe. Есть сведения, что вымогатели действуют из Румынии. Среди распространителей шифровальщика есть знающие русский язык. Для вас подготовлен видеообзор

Обнаружения:
DrWeb -> Trojan.DownLoader26.42166, Trojan.Encoder.24384
BitDefender -> Trojan.GenericKD.30681749, Trojan.GenericKD.30770008, Trojan.Ransom.GandCrab.Gen.2
Malwarebytes -> Ransom.GandCrab, Trojan.MalPack
Tencent -> Trojan.Win32.Gandcrab.j
TrendMicro -> Ransom_GANDCRAB.THEAEAH, Ransom.Win32.GANDCRAB.SMLA.hp

Symantec -> Ransom.GandCrab

© Генеалогия: GandCrab > GandCrab-2 > GandCrab-3 GandCrab-4 > GandCrab-5 > ...

К зашифрованным файлам добавляется расширение .CRAB 
Изображение не принадлежит шифровальщику (это логотип статьи)


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась на конец апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: CRAB-DECRYPT.txt

Содержание записки о выкупе:
---= GANDCRAB V3  =--- 
Attention! 
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB 
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files. 
The server with your key is in a closed network TOR. You can get there by the following ways: 
0. Download Tor browser - https://www.torproject.org/ 
1. Install Tor browser 
2. Open Tor Browser 
3. Open link in TOR browser:
4. Follow the instructions on this page 
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. 
The alternative way to contact us is to use Jabber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: http://sj.ms/register.php
    0) Enter "username": 21b1a2d1729f0695
    1) Enter "password": your password
2. Add new account in Psi
3. Add and write Jabber ID: ransomware@sj.ms any message
4. Follow instruction bot 
ATTENTION!
It is a bot! It's fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availibility anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf 
CAUGHTION! 
Do not try to modify files or use your own private key. This will result in the loss of your data forever! 

*| CAUGHTION! - видимо они хотели написать CAUTION! (ОСТОРОЖНО!)


Перевод записки на русский язык:
Внимание!
Все ваши файлы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .CRAB
Единственный способ восстановления файлов - купить закрытый ключ. Это на нашем сервере, и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытом сетевом TOR. Вы можете добраться туда следующими способами:
0. Загрузите Tor-браузер - https://www.torproject.org/
1. Установите Tor-браузер
2. Откройте Tor-браузер
3. Откройте ссылку в Tor-браузере: ***
4. Следуйте инструкциям на этой странице
На нашей странице вы увидите инструкции по оплате и получите возможность дешифровать 1 файл бесплатно.
Альтернативный способ связаться с нами - использовать Jabber messanger. Узнайте, как:
0. Загрузите Psi-Plus Jabber Client: https://psi-im.org/download/
1. Зарегистрируйте новую учетную запись: http://sj.ms/register.php
    0) Введите "имя пользователя": 21b1a2d1729f0695
    1) Введите "пароль": ваш пароль
2. Добавьте новую учетную запись в Psi
3. Добавьте и напишите Jabber ID: ransomware@sj.ms любое сообщение
4. Следите инструкциям
ВНИМАНИЕ!
Это бот! Это полностью автоматизированная искусственная система без человеческого контроля!
Чтобы связаться с нами, используйте TOR-ссылки. Мы можем предоставить вам все необходимые доказательства доступности расшифровки в любое время. Мы открыты для разговоров.
Вы можете прочитать инструкции по установке и использованию jabber здесь http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
ОСТОРОЖНО!
Не пытайтесь модифицировать файлы или использовать свой закрытый ключ. Это приведет к потере ваших данных навсегда!
Скриншот Tor-сайта вымогателей


Эта версия теперь делает надпись на Рабочем столе, заменяя обои на свои с надписью, чей текст обращён к пользователю ПК. 

Содержание текста: 
ENCRYPTED BY GANDCRAB 3
DEAR [user_name],
YOUR FILES ARE UNDER STRONG PROTECTION BY OUR SOFTWARE. IN ORDER TO RESTORE IT YOU MUST BUY DECRYPTOR
For further steps read CRAB-DECRYPT.txt that is located in every encrypted folder.


Комбинированный скриншот: записка, сайт, зашифрованные файлы



Технические детали

GandCrab v3.0 активно распространяется помощью набора эксплойтов Magnitude,  email-спама и вредоносных вложенийМожет также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью обманных загрузок, других эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов, торрент-файлов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Следует отметить, что GandCrab-3 Ransomware существенно отличается от 2-й версии. Сбрасываемый файл содержит закодированный двоичный файл и распаковывает его для создания итогового исполняемого EXE-файла в памяти. Этот исполняемый файл создает в памяти вредоносный DLL-файл, который выполняет фактическую функцию Ransomware и внедряет код в этот процесс после выполнения обычного процесса svchost.exe. Целевой процесс svchost.exe жестко закодирован в файле. Существующий бестелесный GandCrab сравнивается с тем, который вводится в процесс explorer.exe. DLL-файл, внедренный в процесс, похож на поток кода и метод работы с уже известным DLL-файлом. 

➤ Визуальные отличия от предыдущих версий:
- изменение текста записки о выкупе;
- использование сайта carder.bit в качестве сервера;
- использование Psi-Plus Jabber для связи; 
- добавление изображения с текстом на Рабочий стол;
- перезагрузка после шифрования и установки обоев;
- добавление своего ключа в Автозагрузку Windows.*

*| Для пользователей Windows 7 есть проблема с этим методом, поскольку ключ в Автозагрузке заставляет браузер открывать Tor-сайт и отображает фон, но не отображает Рабочий стол.

➤ Ресурсы шифровальщика забиты текстами на разных экзотических языках. Всё это кажется бессмысленным набором текста. На самом же деле этот приём уже известен исследователем и его участие в процессе шифрования понятно. 

Список файловых расширений, подвергающихся шифрованию:
.accdb, .acl, .acrodata, .avi, .bak, .blf, .bmp, .conf, .contact, .crl, .csv, .dat, .db, .dic, .doc, .docx, .dotm, .dotx, .flv, .gif, .hve, .ini, .jpeg, .jpg, .js, .json, .laccdb, .lnk, .library-ms, .log, .log1, .m4a, .mdb, .mdw, .mkv, .mp3, .mp4, .mpt, .odp, .ods, .odt, .one, .onetoc2, .ots, .pdf, .pem, .png, .pps, .ppt, .pptx, .pst, .rdf, .rtf, .sdi, .search-ms, .sol, .sql, .sqlite, .srs, .swf, .txt, .url, .wav, .wim, wmv, .wtv, .xls, .xlsx, .xml, .xsl (70 или больше расширений), файлы без расширений, файл bootmgr, файлы, находящиеся в директориях System Volume Information. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CRAB-DECRYPT.txt
jin.exe (nslookup.exe)
kiqdsc.exe
kssbel.exe
apphelp.dll
<random>.exe - случайное название

Открытые мьютексы: 
RasPbFile
ShimCacheMutex 

Расположения:
\Desktop\ ->
\User_folders\ ->
%APPDATA%\Microsoft\kiqdsc.exe
%APPDATA%\Microsoft\kssbel.exe
%WINDIR%\system32\apphelp.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: gandcrab2pie73et.onion
Psi-Plus Jabber Client: ransomware@sj.ms

ns2.wowservers.ru (94.249.60.127 Иордания)
ns1.wowservers.ru (94.249.60.127 Иордания)
ransomware.bit
carder.bit (66.171.248.178:80 США)
xxxx://ipv4bot.whatismyipaddress.com (66.171.248.178 TTL:299 США)
94.249.60.127:53 Иордания
xxxx://financialbroker.gq/***
xxxx://rated.dadsrnp.xyz/***
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>  HA>>  HA>>
𝚺  VirusTotal анализ >>  VT>>  VT>>
ᕒ  ANY.RUN анализ >> + AR RigEK>>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
   
GandCrab Ransomware
GandCrab RaaS Ransomware
GandCrab-2 Ransomware
GandCrab-3 Ransomware
GandCrab-4 Ransomware
GandCrab-5 Ransomware




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 10 мая 2018:
Пост в Твиттере >>
Расширение: .CRAB
Записка: CRAB-DECRYPT.txt
Файл: resume.js
Результаты анализов: HA + VT
Скриншоты записок и сайтов >>



Обновление от 11 мая 2018:
Списки URL-адресов сайтов-распространителей >>

Обновление от 14 мая 2018:
Пост в Твиттере >>
Расширение: .CRAB
Файлы: <random>.exe
\AppData\Local\Temp\\pidor.bmp
Список URL: 
xxxxs://pastebin.com/XvxRyj0x
xxxxs://pastebin.com/Xyq634RE

Обновление от 29 мая 2018:
Расширение: .CRAB
Файлы: <random>.exe (примеры: rt0fv0ph.exe, nhkaro.exe)
\AppData\Local\Temp\\pidor.bmp - видимо изображение, встающее на обои

Использует вредоносные DOC-файлы с макросами для инфицирования при открытии. 
Пример такого файла: dhl_invoice_18553.doc  Документ на данный момент на корейском. 
Ориентация: Windows7_64_sp1 MSOffice 2016 и старше
URL: xxxx://carder.bit/ (95.153.32.6)
xxxx://my-dhl-invoice.top/dhl_invoice_18553.doc***
Результаты анализов: HA + VT + VMRay + ANY.RUN
Дополнительно:  v.3.0.1 - VMRay





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (~ID as GandCrab3)
 Write-up, Post of Topic, Topic of Support
 🎥 Video review >>
Added later:
Write-up on BleepingComputer (on May 4, 2018)
Write-up on VMRay (on June 5, 2018)
*
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 (victim in the topics of support)
 Marcelo Rivero, Andrew Ivanov
 CyberSecurity GrujaRS
 Lawrence Abrams
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 27 апреля 2018 г.

RandomLocker

RandomLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: RandomLocker. На файле написано: Ransomware.exe👾

© Генеалогия: выясняется. 

К зашифрованным файлам добавляется расширение .rand

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступают изображение, встающее обоями Рабочего стола. 

Другим информатором жертвы выступает экран блокировки с таймером:

Содержание текста о выкупе:
Ooops, your files have been encrypted!
Encryption was produced using unique key generated for this computer.
To decrypt files, you need to otbtain private key.
The single copy of the private key, with will allow you to decrypt the files, is located on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.
Payment have to be made withinn 24 hours
To retrieve the private key, you need to pay 10$ in BTC
Bitcoins have to be sent to this address: 3GPg3tgwZakR5uTELzjMJRj1NarxHH9YdJ
After you've sent the payment send us an email to randomlocker@tuta.io with subject: UNLOCK ***
If you are not familiar with bitcoin you can buy it from here:
SITE: www localbitcoin.com
After we confirm the payment, we will send the private key so you can decrypt your system.
---
FILES DELETED IN
01:58:24
About bitcoin
How to buy bitcoins?
Show Encrypted Files
Contact Us
[***] [Decrypt]

Перевод текста на русский язык:
Упс, ваши файлы были зашифрованы!
Шифрование сделано с уникальным ключом, созданным для этого компьютера.
Чтобы расшифровать файлы, вам нужно получить закрытый ключ.
Единственная копия закрытого ключа, позволяющая расшифровать файлы, находится в секрете в Интернете;
Сервер уничтожит ключ в течение 24 часов после завершения шифрования.
Оплата должна быть произведена в течение 24 часов
Чтобы получить закрытый ключ, вам надо заплатить 10$ в BTC
Биткоины должны быть отправлены на этот адрес: 3GPg3tgwZakR5uTELzjMJRj1NarxHH9YdJ
После отправки платежа отправьте нам письмо на randomlocker@tuta.io с темой: UNLOCK ***
Если вы не знакомы с биткоином, вы можете купить его здесь:
САЙТ: www localbitcoin.com
После подтверждения оплаты мы отправим секретный ключ, чтобы вы могли расшифровать свою систему.
---
ФАЙЛЫ УДАЛЯТСЯ
01:58:24
О биткоинах
Как купить биткоины?
Показать зашифрованные файлы
Связь с нами
[***] [Дешифровать]

У данного вымогателя имеется опция настройки, через которую вводится код разблокировки и расшифровываются файлы на компьютере. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: randomlocker@tuta.io
BTC: 3GPg3tgwZakR5uTELzjMJRj1NarxHH9YdJ
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RandomLocker)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *