Если вы не видите здесь изображений, то используйте VPN.

четверг, 17 мая 2018 г.

Mr.Dec

Mr.Dec Ransomware

MrDec Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать, как вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.
---
Обнаружения: 
DrWeb -> Trojan.Packed2.41370, Trojan.Encoder.27883, Trojan.Encoder.28936, Trojan.Encoder.28716, Trojan.KillProc2.6292, Trojan.Encoder.29320, 
Trojan.Encoder.30977, Trojan.Encoder.31506
BitDefender -> Trojan.GenericKD.30841403, Gen:Win32.AV-Killer.amW@aCAfMLn, Gen:Variant.Ransom.LockCrypt.7, Gen:Win32.AV-Killer.amW@ae4J0Ed, Generic.Malware.SBg.F685DAE1
Malwarebytes -> Ransom.MrDec, Ransom.Sherminator
TrendMicro -> Ransom_MRDEC.A, Ransom_Sherminator.R002C0DIH19
ALYac -> Trojan.Ransom.MrDec
VBA32 -> Trojan.Tiggre, BScope.TrojanRansom.Encoder, BScope.TrojanRansom.Cryptor, BScope.Trojan.Wacatac
---

© Генеалогия: LockCrypt > Mr.Dec
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .[ID]<random{16}>[ID]

Пример зашифрованного файла:
Document.xls [ID]s-y7Lle4t021D5BD[ID] - между двумя ID 16 знаков

Активность этого крипто-вымогателя пришлась на середину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Decoding help.hta


Содержание записки о выкупе:
You are unlucky! The terrible virus has captured your files! For decoding please contact by email mr.dec@protonmail.com or mr.dec@tutanota.com
Your
ID ***** ID
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
3. Attach the file with the location c:\Windows\DECODE KEY.KEY
are required to generate the decoder and restore the test file.
Hurry up! Time is limited!
Attention!!!
At the end of this time, the private key for generating the decoder will be destroyed. Files will not be restored!
0·1·19·28

Перевод записки на русский язык:
Вам не повезло! Ужасный вирус захватил ваши файлы! Для декодирования, пожалуйста, свяжитесь по email mr.dec@protonmail.com или mr.dec@tutanota.com
Ваш
ID ***** ID
1. В строке темы напишите ваш ID.
2. Прикрепите 1-2 зараженных файла, которые не содержат важной информации (менее 2 мб)
3. Прикрепите файл из пути c:\Windows\DECODE KEY.KEY, чтобы сгенерировать декодер и восстановить тестовый файл.
Поторопись! Время ограничено!
Внимание!!!
По истечении этого времени частный ключ для генерации декодера будет уничтожен. Файлы не будут восстановлены!
0·1·19·28

---
Времени, действительно, даётся мало. Потому, после того как оно истечет, при открытии записки о выкупе будет показано следующее. Минимум видимого текста и сообщение о том, что время вышло. Но текст там есть, нужно просто выделить всё курсором. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, очищает журналы командами:
C:\WINDOWS\system32\cmd.exe /c vssadmin Delete Shadows /All /Quiet
C:\WINDOWS\system32\cmd.exe /c bcdedit
C:\WINDOWS\system32\cmd.exe /c wevtutil.exe

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decoding help.hta - записка с требованием выкупа
DECODE KEY.KEY - спеиальный файл с ключом
<random>.exe - случайное название исполняемого файла

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
 'Autorun.SQL' = '%WINDIR%\svhost.exe'
HKLM\Software\Classes\EncriptIDfile\Shell\Open\Command 
'' = '%WINDIR%\SysWOW64\mshta.exe "%C:\Decoder.hta"
и другие. 
См. ниже результаты анализов в обновлениях.

Сетевые подключения и связи:
Email: mr.dec@protonmail.com
mr.dec@tutanota.com
xxxx://192.168.56.153:2869/upnphost/udhisapi.dll***
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 24 мая 2018:
Пост в Твиттере >>
Пост в Твиттере >>
Видеообзор >>
Email-1: shine2@protonmail.com
Email-2: shine1@tutanova.com
Записка: Decoding help.hta
Скриншот записки с новыми email. 
Файлы: MrDecRansomware.exe-.exe, clerlog.bat
Файл с ключом: DECODE KEY.KEY
Результаты анализов: HA + VT

Обновление от 17 сентября 2018:
Расширение (пример): [ID]Rrw9Vfi+GM-0oRM1[ID]
Пример зашифрованного файла: ConfigTool.lnk [ID]Rrw9Vfi+GM-0oRM1[ID]
Записка: Decoding help.hta
Email: JonStokton@Protonmail.com, JonStokton@tutanota.com
Пост в Твиттере (апрель 2019) >>

Файл EXE: searchfiles.exe
Результаты анализов: VT

Обновление от 1 октября 2018:
Топик на форуме >>
Расширение по шаблону: [ID]<random{16}>[ID]
Примеры зашифрованных файлов: 
safety2017.xlsx [ID]zPy3GGamVqmfk8Ev[ID]
Registration.doc [ID]wkdwkjy4ZKLNF73L[ID]
Export.xlsx [ID]N-ArSYlNe-bU72Vo[ID]
Записка: Decoding help.hta
Email: filessnoop@aol.com, filessnoop@tutanota.com

Скриншот записки со скрытым в фоне текстом

➤ Содержание записки о выкупе:

You are unlucky! The terrible virus has captured your files! For decoding please contact by email filessnoop@aol.com or filessnoop@tutanota.com
Your
[ID]zPy3GGamVqm*****[ID]
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
are required to generate the decoder and restore the test file.
Hurry up! Time is limited!
Attention!!!
At the end of this time, the private key for generating the decoder will be destroyed. Files will not be restored!

Обновление от 12 января 2019:
Пост на форуме >>
Расширение: [ID]mr.file@protonmail.com_all-files-encrypted_email_[mr.file@protonmail.com][ID]
Пример зашифрованного файла: my-file.txt [ID]mr.file@protonmail.com_all-files-encrypted_email_[mr.file@protonmail.com][ID]


Записка: Help for decrypting(mr.file@protonmail.com).txt

Email: mr.file@protonmail.com


➤ Содержание записки:

All your files have been encrypted! 
If you want to restore them, you have to pay for decryption in Bitcoin. It's the easiest and chipest and fast way to restore your data 
Send one small encrypted file to mr.file@protonmail.com for free decrypting(less than 1 MB) but this file shouldn't have valuable data 
fill subject with your IP 
Do not rename encrypted files. 
Do not try to decrypt your data using another software because you will lose your data
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
You don't have time! The price is increasing and after a specific time we will remove the decryption key! Be hurry!!! 

Обновление от 25 апреля 2019:
Топик на форуме >>
Расширение: [ID]ljjF2z2BFwY98984[ID]
Записка: Decoding Help.hta
Email: localgroup@protonmail.com, localgroup@tutanota.com




Обновление от 19 июня 2019 / повтор 23 июля 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Пример расширения: .[ID]g9uZrLhJaygpwRm1[ID]
Записка: Decoding help.hta

Email: ZiCoyote@protonmail.com, ZiCoyote@aol.com
Результаты анализов: VT + VMR + IA / VT + VMR + IA


Обновление от 20 июня 2019:
Пост на форуме >>
Пример расширения: .[ID]FkvQmpseTnMOZfgAX[ID]
Шаблон расширения: .[ID]<ID>[ID]
Записка: Decoder.hta
Email: asist.help@protonmail.com, asist5000@tutanota.com


➤ Содержание записки:
You are unlucky! The terrible virus has captured your files! For decoding please contact by email
asist.help@protonmail.com
or
asist5000@tutanota.com
Your
[ID]FkvQmpseTnMOZfgAX[ID] 
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
are required to generate the decoder and restore the test file.
ATTENTION !
Hurry up! Time is limited!
Do not contact third parties for help, this may lead to the fact that you will be deceived and you will not receive your decoder.
REMEMBER - only we have a tool to get your files back!


Обновление от 16 июля 2019:
Пост в Твиттере >>
Расширение (шаблон): .[ID]random{16}[ID]
Расширение (пример): .[ID]N6vs26BhQD53S1AF[ID]
Пример зашифрованного файла: desktop.ini.[ID]N6vs26BhQD53S1AF[ID]
Записка: Decoding_help.hta
Email: Chloe-Smith6@protonmail.com, Chloe-Smith@tutanota.com
Результаты анализов: VT + AR

➤ Содержание записки:
You are unlucky! The terrible virus has captured your files! For decoding please contact by email Chloe-Smith6@protonmail.com or Chloe-Smith@tutanota.com
Your
[ID]lyEB106HzpuhVT6F[ID]
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
are required to generate the decoder and restore the test file.
Hurry up! Time is limited!
Attention!!!
At the end of this time, the private key for generating the decoder will be destroyed. Files will not be restored!


Обновление от 11-17 сентября 2019:
Пост в Тивттере >>
Расширение (шаблон): .[ID]random{16}[ID]
Записка: Decoder.hta
Email: you.help5@protonmail.com, sherminator.help@tutanota.com
Результаты анализов: VT + AR + AR

 Содержание записки: 
You are unlucky! The terrible virus has captured your files! For decoding please contact by email
you.help5@protonmail.com
or
sherminator.help@tutanota.com
Your
[ID]JyY0eMlcoADy42hbK[ID]
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
are required to generate the decoder and restore the test file.
ATTENTION !
Hurry up! Time is limited!
Do not contact third parties for help, this may lead to the fact that you will be deceived and you will not receive your decoder.
REMEMBER - only we have a tool to get your files back!


Обновление от 30 сентября 2019: 
Расширение (шаблон): .[ID]random{16}[ID]
Расширение (пример): .[ID]Yb87MmL5btZnQTP9[ID]
Записка: Decoding help.hta
Email: z.zezet@aol.com, z.zezet@protonmail.com

 Содержание записки: 
You are unlucky! The terrible virus has captured your files! For decoding please contact by email z.zezet@aol.com or z.zezet@protonmail.com
Your
[ID]Yb87MmL5btZnQTP9[ID]
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
are required to generate the decoder and restore the test file.
Hurry up! Time is limited!
Attention!!!
At the end of this time, the private key for generating the decoder will be destroyed. Files will not be restored!


Обновление от 14 декабря 2019:
Топик на форуме >>
Пост в Твиттере >>
Расширение (шаблон): .[ID]random{16}[ID]
Расширение (пример): .[ID]QVoWVI5Te9UyK***[ID]
Записка: Decoding help.hta
Email: Frederik888@aol.com, Frederik888@protonmail.com
Результаты анализов: VT + AR
 
 Содержание записки: 
You are unlucky! The terrible virus has captured your files! For decoding please contact by email Frederik888@aol.com or Frederik888@protonmail.com
Your
[ID]QVoWVI5Te9UyK***[ID]
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
are required to generate the decoder and restore the test file.
Hurry up! Time is limited!
Attention!!!
At the end of this time, the private key for generating the decoder will be destroyed. Files will not be restored!


Обновление от 7 февраля 2020: 
Пост в Твиттере >>
Расширение (шаблон): .[ID]random{17}[ID]
Расширение (пример): .[ID]SOo0FIg0Oc3AhLL4Y[ID]
Email: avalible_restore@protonmail.com, avalible_restore@tutanota.com
Записка: Decoder.hta
Файлы: CHAR.EXE.exe, delog.bat
Расположения: 
C:\Users\User\Desktop\CHAR.EXE.exe
C:\WINDOWS\delog.bat
Результаты анализов: VT + HA + AR 
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30977
BitDefender -> Generic.Malware.SBg.4E238557
Rising -> Ransom.Agent!1.C260 (CLASSIC)
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXV

➤ Ключи реестра:
Registry Key Name Operations
HKEY_CLASSES_ROOT\.[ID]SOo0FIg0Oc3AhLL4Y[ID]
HKEY_CLASSES_ROOT\EncriptIDfile
HKEY_CLASSES_ROOT\EncriptIDfile\DefaultIcon
HKEY_CLASSES_ROOT\EncriptIDfile\Shell\Open\Command

 Содержимое записки: 
You are unlucky! The terrible virus has captured your files! For decoding please contact by email
avalible_restore@protonmail.com
end
avalible_restore@tutanota.com
Your
[ID]SQstOYAPMpLYb7***[ID]
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
are required to generate the decoder and restore the test file.
ATTENTION !
Hurry up! Time is limited!
Do not contact third parties for help, this may lead to the fact that you will be deceived and you will not receive your decoder.
REMEMBER - only we have a tool to get your files back!


Обновление от 3 апреля 2020 или раньше - с 28 марта:
Если случай от 12 мая 2020. 
Пост в Твиттере >>
Расширение: .TPkMmmpZ12bO_RSA
Шаблон расширения: .<ID>_RSA
Записка: Data recovery.hta
Email: stimbail@protonmail.com, stimbail@tutanota.com

 
➤ Содержание записки: 
Your files are encrypted a unique ID:
TPkMmmpZ12bO_RSA
   Use this ID to decrypt your data. To do this, contact by any email that is listed below and:
     *In the subject line, write your ID.
     *Attach 1-2 files with a size of no more than 2mb for the test.
     *Follow the instructions received in the response message.
  "Do not rename files that have this ID.
   Do not try to recover your data yourself using standard Windows tools, as well as third-party software. This will inevitably lead to permanent data loss.
   Do not contact third parties. Each ID has its own unique encryption key, which is known only to us. Anyone who promises to decrypt your data will deceive you."
© Developer.  
stimbail@protonmail.com     or     stimbail@tutanota.com
To exit, press the keys ALT+F4 .
---
Файл: CHAR2.EXE.exe, svhost.exe
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31506
ALYac -> Trojan.Ransom.MrDec
BitDefender -> Generic.Malware.SBg.3943BA8A
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXV
Malwarebytes -> Ransom.MrDec



Обновление от 10 июня 2020:
Топик на форуме >>
Расширение (шаблон): .id-XXXXXXXXXX all-files-encrypted_email_[<email>][ID]
Расширение (пример): .id-V778541II1 all-files-encrypted_email_[mr.file.encrypted@protonmail.com]
Email: mr.file.encrypted@protonmail.com 
Записка: Help for decrypting(id-V778541II1).txt
➤ Содержание записки:
All your files have been encrypted! 
If you want to restore them, you have to pay for decryption in Bitcoin. It's the easiest and chipest and fast way to restore your data 
Send Massage to mr.file.encrypted@protonmail.com 
**********************************
Fill subject with your ID 
You have 24 hours to pay money
Do not try to decrypt your data using another software because you will lose your data
**********************************
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
You don't have time! The price is increasing and after a specific time we will remove the decryption key! Be hurry!!! 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MrDec)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author), GrujaRS, Petrovic
 BleepingComputer
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 15 мая 2018 г.

Sepsis

Sepsis Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Sepsis Ransomware (написано в заголовке записки о выкупе). На файле написано: svchost.exe.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .SEPSIS
Фактически используется составное расширение .[Sepsis@protonmail.com].SEPSIS

Активность этого крипто-вымогателя пришлась на первую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Info.hta

Содержание записки о выкупе:
Welcome to Sepsis Ransomware!
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Sepsis@protonmail.com
Write this ID in the title of your message 16E734E0
In case of no answer in 24 hours write us to theese e-mails: sepsis@airmail.cc
The price depends on how fast you write to us. You have to pay for decryption in Bitcoins. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://locabitcoins.com/buy bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Добро пожаловать в Sepsis Ransomware!
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на e-mail Sepsis@protonmail.com
Напишите этот идентификатор из заголовка сообщения 16E734E0
В случае отсутствия ответа в течение 24 часов напишите нам на этот email: sepsis@airmail.cc
Цена зависит от того, как быстро вы напишете нам. Вы должны заплатить за дешифрование в биткоинах. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии
Перед уплатой вы можете отправить нам до 5 файлов для бесплатного дешифрования. Общий размер файлов должен быть меньше 10 Мб (не архивированный), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить биткойны
Самый простой способ купить биткоины - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://locabitcoins.com/buy биткойны
Также вы можете найти другие места, где можно купить биткоины и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к полной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Из ресурсов видно, что используется одна составная команда:
/c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
.AAPP, .BAT, .CAT, .CHM, .CHS, .CHT, .CNT, .CZE, .DAN, .DAT, .DEU, .DLL, .DOC, .DOCX, .ENU, .EPS, .EUQ, .ESP, .EXE, .FLT, .FRA, .GIF, .HLP, .HRV, .HTM, .HTML, .HUN, .HXK, .HXS, .HXT, .IDX_DLL, .INI, .ION, .ITA, .JPG, .JPN, .KOR, .LOG, .LOG1, .LOG2, .MSI, .NLD, .NOR, .OLB, .PDF, .PNG, .POL, .PTB, .RUM, .RUS, .SFX, .SKY, .SLV, .SUO, .SVE, .SYS, .TTF, .TUR, .TXT, .UKR, .WPG, .XLS, .XSL (63 расширения в верхнем регистре).
.aapp, .bat, .cat, .chm, .cxs, .cht, .cnt, .cze, .dan, .dat, .deu, .dll, .doc, .docx, .enu, .eps, .esp, .euq, .exe, .flt, .fra, .gif, .hlp, .hrv, .htm, .htm, .hun, .hxk, .hxs, .hxt, .idx_dll, .ini, .ion, .ita, .jpg, .jpn, .kor, .log, .log1, .log2, .msi, .nld, .nor, .olb, .pdf, .png, .pol, .ptb, .rum, .rus, .sfx, .sky, .slv, .suo, .sve, .sys, .ttf, .tur, .txt, .ukr, .wpg, .xls, .xsl (63 расширения в нижнем регистре).

Это наверняка документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., файлы без расширений, в том числе файл BOOTNXT.

Файлы, связанные с этим Ransomware:
Info.hta
svchost.exe
SadeghSample_5afc4a7c9931365644caeb64.exe
wr.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Windows\svchost.exe

Жестко закодированный мьютекс: 
HJG><JkFWYIguiohgt89573gujhuy78^*(&(^&^$
䩈㹇䨼䙫套杉極桯瑧㤸㜵朳橵畨㝹常⠪⠦♞⑞

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sepsis@protonmail.com
sepsis@airmail.cc
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as Sepsis)
 Write-up, Topic of Support
 🎥 Video review
 <- Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 14 мая 2018 г.

Rapid-3

Rapid 3.0 Ransomware

(шифровальщик-вымогатель) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее для пострадавших из РоссииБеларуси и Казахстана >>>


Информация о шифровальщике

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.07 BTC, чтобы вернуть файлы. Оригинальное название: rapid3.0 (указано в коде) и RAPID v3 (указано в записке). На файле написано.

© Генеалогия: Rapid > Rapid 2.0 Rapid 3.0


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение как и у варианта Rapid 2.0, по шаблону: .[5-random-chars]

К зашифрованным файлам добавляется составное расширение по шаблону .
Активность этого крипто-вымогателя пришлась на середину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известно о пострадавших из следующих стран: США, Иран, Германия, Япония, Бенин, Южная Корея, Индонезия, Испания, Малайзия, Индия.

Сначала я написал о записке следующее. 
Записка с требованием выкупа называется как и у варианта Rapid 2.0, по шаблону: DECRYPT.[5-random-chars].txt

Позже оказалось (см. Hybrid Analysis ниже), что у записки статичное название: ReadMe.txt


Содержание записки о выкупе:
[ RAPID RANSOMWARE V3 ]
Hello, dear friend!
All your files have been ENCRYPTED
The only way to decrypt your files is to receive the private key and decryption program.
To get the key and decryption program see instruction below:
1. Download Tor browser - https://www.torproject.org/
2. Install Tor browser
3. Run Tor Browser
4. In the Tor Browser open website: http://vgon3ggilr4vu32q.onion/?id=BTC
Note! This page available via Tor Browser only!
5. Follow the instruction at this website
On our page you can see all instruction how to decrypt your system and decrypt for free 1 file!
ATTENTION!
Do not try to decrypt your data using third-party software, it may cause permanent data loss.

Перевод записки на русский язык:
Здравствуй, дорогой друг!
Все ваши файлы были ЗАШИФРОВАНЫ
Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
Для получения ключа и программы дешифрования см. Инструкцию ниже:
1. Загрузите Tor-браузер - https://www.torproject.org/
2. Установите Tor-браузер
3. Запустите Tor-браузер
4. В открывшемся Tor-браузере: http://vgon3ggilr4vu32q.onion/?id=BTC
Заметка! Эта страница доступна только через Tor-браузер!
5. Следуйте инструкциям на этом веб-сайте
На нашей странице вы можете увидеть все инструкции по расшифровке вашей системы и расшифровке бесплатно 1 файла!
ВНИМАНИЕ!
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к потере данных.

Скриншоты с сайта вымогателей

 В качестве поддержки вымогатели нахально демонстрируют свой  новый email: demonslay335@rape.lol
В котором используется ник demonslay335, принадлежащий на форуме BleepingComputer, в Твиттере и на других сайтах известному исследователю вредоносных программ и разработчику ID-Ransomware Майклу Джиллеспи. Им это известно, потому они так выделили этот адрес. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов с помощью команды:
wmic shadowcopy delete

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT.[5-random-chars].txt
ReadMe.txt
<random>.exe - случайное название
Rapid Decryptor

Расположения:
\Desktop\ ->
\User_folders\ ->
%APPDATA%\54A180163002F493\ReadMe.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: vgon3ggilr4vu32q.onion/?id=BTC
Email-вымогателей: demonslay335@rape.lol
BTC-вымогателей: 1HoUDMGrNkeG1WoxiRVJCxUXdY35EwZq1i
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Rapid Ransomware - январь 2018
Rapid 2.0 Ransomware - март 2018
Rapid 3.0 Ransomware - май 2018
Rapid-Gillette Ransomware - март 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 24 мая 2018:
Расширение: .EZYMN



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Rapid 3.0)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *