Если вы не видите здесь изображений, то используйте VPN.

четверг, 24 мая 2018 г.

Magician

Magician Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.033 BTC, чтобы вернуть файлы. Оригинальное название: Magician и Magician RSWware. На файле написано x1609y.exe. Разработчик подписался как: The Magician

© Генеалогия: EDA2 >> Stolich >> Magician

К зашифрованным файлам добавляется расширение .magic

Активность этого крипто-вымогателя пришлась на вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
You have been attacked by the Magician RSWare, your Personal Identifier is ***  if you lose it - any chance of getting your data is flushed in the toilet

Перевод записки на русский язык:
Вы были атакованы Magician RSWare, ваш персональный идентификатор *** если вы его потеряли - шанс вернуть ваши данные смыт в туалете



Имеется также некая записка в отдельном сообщении.

Содержание сообщения:
"gold is 1 part mercury and 3 parts sulfur", "msil.jabir by alcopaul"

Перевод на русский язык:
"золото - 1 часть ртути и 3 части серы", "msil.jabir by alcopaul"


Подробная информация есть на веб-страницах вымогателей: 

Содержание текста со скриншотов: 
Feel the Wrath of the Magician
Now make me rich!
Send 0.033 BTC to 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
Use any service for sending the bitcoin
Also, please email me after your have completed payment with your bitcoin address: magicman22@protonmail.ch
---
Now, Here are the steps to getting your data back!
1. Send 0.033 Bitcoin to the following bitcoin address:
2. Once you have sent the payment send an email to magicman22@protonmail.ch with the following: This Code: WIN30I and your bitcoin address
3. Have your files unlocked within the same hour!
If you should have any trouble making payment please send us an email to magicman22@protonmail.ch any begging to unlock files without payment will be ignored.
A SERIOUS WARNING!! ALL FILES WILL BE AUTOMATICALLY LOST FOREVER IF PAYMENT IS NOT MADE WITHIN 24 HOURS!!
How to buy Bitcoin if you never have before!
1. Create a bitcoin wallet with any provider (free) - blockchain.info is the best one
2. Buy bitcoin from any exchange or from bitcoin.com.au if you are in Australia. - once the bitcoin is sent to your wallet, you
will be able to send it to the address provided. 
Here are some helpful links for buying bitcoin or just google it!
xxxx://fortune.com/2018/01/03/bitcoin-buy-how-to-cryptocurrency/
xxxxs://bitcoin.com.au/
The FBI says to just pay the ransom! Google It!
I use use santization to prevent XSS attacks to servers
I reset the dates to 1st January 1999 of all the files
I use RSA 4096 and AES 256 (okay, doesn't matter but still
I also cause much more crypting (encrypting D:, E: and F:)
Regards,
The Magician
---
Welcome!
This is where the Magician Ransomware has been hosted :)
If you are a victim, click here

Перевод текста на русский язык: 
Почувствуйте Гнев Мага
Теперь сделайте меня богатым!
Отправьте 0.033 BTC на 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
Используйте любой сервис для отправки биткоина
Кроме того, напишите мне на email после того, как вы завершили оплату сj своего биткоин-адреса: magicman22@protonmail.ch
---
Теперь, вот шаги по возврату ваших данных!
1. Отправьте 0.033 биткоина на следующий биткоин-адрес:
2. После того как вы отправили платеж, отправьте email по адресу magicman22@protonmail.ch со следующим: Этот код: WIN30I и ваш биткоин-адрес
3. Разблокируйте файлы в течение одного часа!
Если у вас возникнут какие-то проблемы с оплатой, отправьте нам письмо по адресу magicman22@protonmail.ch. Просьба разблокировать файлы без оплаты будет проигнорирована.
СЕРЬЕЗНОЕ ПРЕДУПРЕЖДЕНИЕ! ВСЕ ФАЙЛЫ БУДУТ АВТОМАТИЧЕСКИ ПОТЕРЯНЫ НАВСЕГДА, ЕСЛИ ОПЛАТА НЕ СДЕЛАНА ЗА 24 ЧАСА !!
Как купить биткоин, если у вас никогда не было раньше!
1. Создайте биткоин-кошелек с любым провайдером (бесплатно) - blockchain.info - лучший
2. Купите биткоин с любого обмена или с bitcoin.com.au, если вы находитесь в Австралии. - как только биткоин отправится на ваш кошелек, вы
сможет отправить его на указанный адрес.
Вот некоторые полезные ссылки для покупки биткоина или погуглите!
xxxx://fortune.com/2018/01/03/bitcoin-buy-how-to-cryptocurrency/
xxxxs://bitcoin.com.au/
ФБР говорит, что просто заплатите выкуп! Погуглите это!
Я использую санитизацию для предотвращения XSS-атак на серверы
Я возвращаю даты до 1 января 1999 года на всех файлов
Я использую RSA 4096 и AES 256 (ок, не имеет значения, но все равно
Я также делаю большее шифрование (шифрование D:, E: и F :)
С Уважением,
Маг
---
Добро пожаловать!
Именно здесь был запущен Magician Ransomware :)
Если вы жертва, нажмите здесь


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt
x1609y.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: xxxxs://magicman22.co.nf/panel2020
Email: magicman22@protonmail.ch
BTC: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 22 мая 2018 г.

JosepCrypt

JosepCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: drweb32.exe. Среда разработки: Visual Studio 2015. Файл проекта называется: FullStart.pdb

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .josep

Активность этого крипто-вымогателя пришлась на конец апреля - вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RECOVERY.txt

Содержание записки о выкупе:
A l l   y o u r   f i l e s   a r e   e n c r y p t e d .   I f   y o u   w a n t   t o r e c o v e r t h e y ,   w r i t e   m e   t o   j o s e p n i v e r i t o @ a o l .   c o m  Y o u   h a v e   a   5   d a y s   Y O U R   K E Y :   *****
---
All your files are encrypted. If you want to recover they, write me to josepniverito@aol.com
You have a 5 days
YOUR KEY: *****

Перевод записки на русский язык:
Все ваши файлы зашифрованы. Если вы хотите восстановить их, напишите мне на josepniverito@aol.com
У вас есть 5 дней 
ВАШ КЛЮЧ: *****



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Добавляется в Автозагрузку Windows и показывает записку о выкупе RECOVERY.txt
Собирает информацию об установленных почтовых клиентах. 

Список файловых расширений, подвергающихся шифрованию:
.000, .001, .002, .acl, .aif, .aspx, .automaticDestinations-ms, .bin, .bla, .blf, .bmp, .cab, .chk, .contact, .Crwl, .cs, .csc, .css, .customDestinations-ms, .customUI, .DAT, .dat, .db, .decTest, .def, .DeskLink, .DIA, .DIC, .dll, .doc, .docx, .dotm, .dotx, .emf, .enc, .eps, .etl, .exe, .feed-ms, .feedsdb-ms, .fs, .fsc, .gif, .gthr, .h, .H1D, .H1H, .H1Q, .H1W, .hds, .htm, .html, .HxD, .HxH, .hxl, .hxn, .HxW, .icc, .icns, .ico, .inf, .ini, .jpg, .jrs, .js, .Lck, .lib, .library-ms, .lnk, .log, .lst, .MAPIMail, .mp3, .msg, .mydocs, .obi, .oeaccount, .one, .onecache, .onetoc2, .pat, .pbk, .pck, .pdf, .pem, .php, .png, .pst, .py, .pyc, .pyd, .pyo, .pyw, .regtrans-ms, .rtf, .sample, .sdf, .sdi, .searchconnector-ms, .sec, .sh, .Targets, .tcl, .terms, .theme, .tm, .tmp, .trx_dll, .txt, .url, .uue, .vbs, .vdm, .wer, .wim, .wma, .wmdb, .wmf, .wmv, .wpl, .wtv, .xbm, .xls, .xlsx, .xltx, .xml, .xpm, .ZFSendToTarget (128 расширений в этом списке) ...

Это документы и шаблоны MS Office, OpenOffice, PDF, текстовые файлы, базы данных, веб-страницы, фотографии, музыка, видео, файлы образов, архивы, файлы приложений Microsoft Windows, прочие файлы, в том числе файлы без расширений. 

Файлы, связанные с этим Ransomware:
RECOVERY.txt
drweb32.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: josepniverito@aol.com
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 23 мая 2018:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .karne
Email: karnel.fikol@aol.com
Записка о выкупе: RECOVERY.txt
Содержание записки о выкупе: 
All your files are encrypted. If you want to recover they, write me to karnel.fikol@aol.com
You have a 5 days
YOUR KEY: AchTJSWQ78PhBCddNDf9PZtEdQvEcNf3s5pk7D***




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as JosepCrypt)
 Write-up, Topic of Support
 🎥 Video review
 - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 21 мая 2018 г.

PGPSnippet

PGPSnippet Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью PGP, а затем требует выкуп в 500$ в BTC, чтобы вернуть файлы. Оригинальное название: PGPSnippet. На файле написано: PGPSnippet.exe.

© Генеалогия: PGP >> PGPSnippet 

К зашифрованным файлам добавляется расширение .decodeme666@tutanota_com

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась середину и на вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!README_DECRYPT!!!.txt

Содержание записки о выкупе:
ATTENTION !
All your documents and other files ENCRYPTED !!!
TO RESTORE YOUR FILES YOU MUST TO PAY: 500$ by Bitcoin to this address: 1Nvhebx6EHmFmXokSbXMxbCNGN2fwtgq8W
You can open an wallet here:
https://electrum.org/#download
https://blockchain.info
https://localbitcoins.com/
https://paxful.com/en
https://www.bestchanee.com/
Send the file on the way "WIN + R >> %APPDATA%" file name hosts.txt to our e-mail after paymentat this email address: decodeme666@tutanota.com
We will confirm payment and send to you decrypt key + instruction
Remember: you have a 72 hours and if you not paid, that price will up
ATTENTION : all your attempts to decrypt your PC without our software and key can lead to irreversible destruction
of your files !

Перевод записки на русский язык:
ВНИМАНИЕ !
Все ваши документы и другие файлы ЗАШИФРОВАНЫ !!!
ЧТОБЫ ВЕРНУТЬ ВАШИ ФАЙЛЫ, ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ: 500$ в биткоинах на этот адрес: 1Nvhebx6EHmFmXokSbXMxbCNGN2fwtgq8W
Вы можете открыть кошелек здесь:
https://electrum.org/#download
https://blockchain.info
https://localbitcoins.com/
https://paxful.com/en
https://www.bestchanee.com/
Отправьте файл из пути «WIN + R >> % APPDATA%» имя файла hosts.txt на нашу почту после оплаты на этот email-адрес: decodeme666@tutanota.com
Мы подтвердим оплату и отправим вам ключ дешифрования + инструкцию
Помните: у вас есть 72 часа, и если вы не заплатили, эта цена повысится
ВНИМАНИЕ: все ваши попытки расшифровать ваш компьютер без нашей программы и ключа могут привести к необратимому повреждению
ваших файлов !



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Вывод: Использование PGP совершенно бесполезно, если ключ небезопасен. Поэтому файлы можно дешифровать. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PGPSnippet.exe
!!!README_DECRYPT!!!.txt
hosts.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: decodeme666@tutanota_com
BTC: 1Nvhebx6EHmFmXokSbXMxbCNGN2fwtgq8W
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 7 июня 2018:
Расширение: .criptfud@protonmail.com
Email: criptfud@protonmail.com
BTC: 1CEvCVbVnCC1eiM84MXCy3UmRecMPngKT
Сумма выкупа: 150$
Записка: !!!README_DECRYPT!!!.txt
Скриншот записки >>

Обновление от 8 июня 2018:
Пост в Твиттере >>
Расширение: .digiworldhack@tutanota.com
Email: digiworldhack@tutanota.com
BTC: 11zc6pm11fQiWXDAG7urFTeBUu9UGeH57
Записка: !!!README_DECRYPT!!!.txt
Результаты анализов: VT
Скриншот записки >>







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as PGPSnippet)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Emmanuel_ADC-Soft
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.

Eternal

Eternal Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 500 $, чтобы вернуть файлы. Оригинальное название: E T E R N A L _ R A N S O M W A R E. На файле написано: нет данных.

© Генеалогия: выясняется.

Фактически файлы не шифруются. К фейк-зашифрованным файлам добавляется расширение .eternal

Образец этого вымогателя был найден во второй половине мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, видимо, находится в разработке. 

Записки с требованием выкупа называются: 
_YOUR_FILES_GOT_ENCRYPTED_.txt
_YOUR_FILES_GOT_ENCRYPTED.vbs


Содержание записки о выкупе:
Hello,
Your files got encrypted by the
E T E R N A L _ R A N S O M W A R E
There's no escape until you pay me
Follow the instructions on the decryptor
Good Luck. 

Перевод записки на русский язык:
Привет,
Твои файлы были зашифрованы
E T E R N A L _ R A N S O M W A R E
Нет спасения, пока ты не заплатишь мне
Следуйте инструкциям на расшифровке
Удачи.

Содержание VBS-файла:
Dim message, sapi 
message="attention. attention. attention. Your files, documents and photos got encrypted. They we're encrypted with RSA-4096, AES256 and a millitary code. You can't decrypt them unless you pay me 500 dollars. Run the eternal decryptor and follow the instructions. Good luck."
Set sapi=CreateObject("sapi.spvoice")
sapi.Speak message

Перевод содержания VBS-файла на русский язык:
внимание. внимание. внимание. Твои файлы, документы и фотографии зашифрованы. Они зашифрованы с помощью RSA-4096, AES256 и военного кода. Ты не сможешь расшифровать их, если не заплатишь мне 500 долларов. Запусти eternal decryptor и следуй инструкциям. Удачи.

Другим информатором жертвы выступает изображение, встающее обоями рабочего стола.

Содержание текста о выкупе:
ATTENTION,
YOUR FILES, DOCUMENTS AND PHOTOS GOT ENCRYPTED, THEY WERE ENCRYPTED WITH: RSA-4096, AES256 AND A MILLITARY CODE.
YOU CAN'T DECRYPT THEM UNLESS YOU PAY ME 500$
RUN THE ETERNAL DECRYPTOR FOR MORE INSTRUCTIONS 
GOOD LUCK.

Перевод текста на русский язык:
Внимание,
Ваши файлы, документы и фотографии были зашифрованы, они были зашифрованы с помощью: RSA-4096, AES256 и военного кода.
Вы не можете расшифровать их, если вы не платите мне 500$
Запустите вечный дешифратор для получения дополнительных инструкций
Удачи.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Фактически файлы не шифруются, но после доработки это вполне могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_YOUR_FILES_GOT_ENCRYPTED_.txt
_YOUR_FILES_GOT_ENCRYPTED.vbs
<image_for_wallpaper>
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Eternal)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 17 мая 2018 г.

Sigrun

Sigrun Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SIGRUN RANSOMWARE и SIGRUN 1.0 RANSOMWARE. На файле может быть написано, что угодно. Для вас подготовлен видеообзор

© Генеалогия: ✂ GandCrab > Sigrun

К зашифрованным файлам добавляется расширение .sigrun

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась на середину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются:
RESTORE-SIGRUN.txt
RESTORE-SIGRUN.html


Тексты в видимой части аналогичны. Но в html-записке есть еще скрытый текст. Об этом ниже. 

Содержание записки о выкупе (ранний вариант):
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Dear user, all your important files have been encrypted!
Don't worry! Your files still can be restored by us!
In order to restore it you need to contact with us via e-mail.
sigrun_decryptor@protonmail.ch
As a proof we will decrypt 3 files for free!
Please, attach this to your message:
94 04 00 00 50 1a 63 58  dc 54 f5 a7 fa 63 0f e2
13 f5 37 1d e8 4b 68 4d  3d 8a 15 cc 50 47 46 e2
33 0c fa f0 5e ee 21 3e  24 70 f5 55 6e 34 71 b9
2a cd d6 c3 09 07 0b d4  13 77 10 50 35 14 6d af
77 7b aa a4 1b 30 37 bс  3a bd 64 12 79 63 15 9a

Перевод записки на русский язык:
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Уважаемый пользователь, все ваши важные файлы были зашифрованы!
Не волнуйся! Ваши файлы могут быть восстановлены нами!
Чтобы восстановить его, вам нужно связаться с нами по email.
sigrun_decryptor@protonmail.ch
В качестве доказательства мы расшифруем 3 файла бесплатно!
Пожалуйста, приложите это к вашему сообщению:
[1688 байт в HEX]

В HTML-записке имеется скрытый текст на исландском или древнескандинавском. 

Содержание этого текста на исландском или древнескандинавском языке: 
Þá brá ljóma
af Logafjöllum,
en af þeim ljómum
leiftrir kómu,
hávar und hjalmum
á Himinvanga,
brynjur váru þeira
blóði stokknar,
en af geirum
geislar stóðu.

Как оказалось, это поэтическое повествование из "Старшей Эдды". Ссылка >>
Sigrun - персонаж из норвежской мифологии, валькирия. Ссылка >>




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ UAC не обходит, требуется разрешение на запуск. 

➤ Удаляет точки восстановления системы (снапшоты). 

➤ Sigrun проверяет значения в реестре HKEY_CURRENT_USER\Keyboard Layout\Preload и ищет "00000419" (Russian LCID в hex). 

Вывод: русскоязычные системы пользователей не должны быть зашифрованы этим шифровальщиком. Если это произойдёт, то для пострадавших из России и некоторых стран СНГ (с русским основным языком) могут расшифровать бесплатно. Назваться русским, чтобы обмануть, не выйдет. 

Список файловых расширений, подвергающихся шифрованию:
.acl, .acrodata, .avi, .bak, .blog, .bmp, .btapp, .cfg, .conf, .contact, .crl, .css, .dat, .data, .db, .DIC, .doc, .docx, .dot, .dotm, .dotx, .etl, .flv, .gif, .glox, .html, .info, .ini, .jpg, .js, .json, .jsonlz4, .m4a, .metadata, .metadata-v, .mkv, .mp3, .mp4, .mpt, .ods, .ods, .odt, .one, .ots, .pdf, .png, .ppt, .pptx, .pst, .rdf, .rtf, .sdi, .searchconnector-ms, .sqlite, .srs, .swf, .thmx, .timestamp, .url, .wim, .wmv, .wtv, .xml, 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов и пр.

Список расширений, которые находятся в "белом списке" и не шифруются:
.admin, .ani, .bat, .cab, .cmd, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .exe, .hlp, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .sigrun, .sigrun_key, .spl, .sys, .theme, .themepack

В белом списке также находятся файлы, которые находятся в следующих директориях:
Windows, ProgramData, Program Files, All Users, Local Settings, Boot, IETldCache, Tor Browser

Также пропускаются шифровальщиком файлы:
desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, ntldr, NTDETECT.COM, Bootfont.bin

Файлы, связанные с этим Ransomware:
RESTORE-SIGRUN.txt
RESTORE-SIGRUN.html
sigrun.exe
timeout.exe
<random>.exe - случайное название
<random>.sigrun_key

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\

Записи реестра, связанные с этим Ransomware:
SOFTWARE\Valkyrie\data
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sigrun_decryptor@protonmail.ch
xxxxs://files.freemusicarchive.org/***
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Sigrun Ransomware (early version, without the number) - mid-May, 2018
Sigrun 1.0 Ransomware - May 24, 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 24 мая 2018:
Пост в Твиттере >
Результаты анализов: VT
Записки о выкупе:
RESTORE-SIGRUN.txt
RESTORE-SIGRUN.html
Изменения в записках:

➤ Содержание txt-записки: 
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Attention! 
All your files documents, photos, databases and other important files are encrypted and have the extension: .sigrun
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files. 
But don't worry! You still can restore it!
In order to restore it you need to contact with us via e-mail.
 -----------------------------------------------
 | Our e-mail is: decrypt_sigrun@protonmail.ch |
 -----------------------------------------------
As a proof we can decrypt 3 files for free!
Please, attach this to your message:
94 04 00 00 84 94 38 1f  4b 16 84 33 9b f1 13 dc
27 c4 b8 bc 93 b5 bb 84  0b 89 ef 49 db f6 22 c5
6f 75 6c 8b 8a f6 11 65  86 9b d5 3f f7 26 b0 75
fc ef 70 0c a8 da f5 90  2a 34 aa f6 24 c8 53 97
a5 5d 27 44 2b 0d 6c 28  16 2e 32 09 7a 39 a8 fa***

➤ Содержание html-записки: 
SIGRUN 1.0 RANSOMWARE
All your important files are encrypted
Your files has been encrypted by sigrun ransomware with unique decryption key.
There is  only one way   to get your files back:  contact with us,  pay,  and get  decryptor software. 
We accept Bitcoin and Dash,  you can find exchangers on https://www.bitcoin.com/buy-bitcoin and https://www.dash.org/exchanges/  and others.
You have unique idkey (in a dark blue frame), write it in letter when contact with us.
Also you can decrypt 3 files for test, its guarantee what we can decrypt your files.
IDKEY:
>>> 94 04 00 00 84 94 38 1f 4b 16 84 33 9b f1 13 dc 27 c4 b8 bc 93 b5 bb 84 0b 89 ef 49 db f6 22 c5 6f 75 6c 8b 8a f6 11 65 86 9b d5 3f f7 26 b0 75 fc ef 70 0c a8 da f5 90 2a 34 aa f6 24 c8 53 97 a5 5d 27 44 2b 0d 6c 28 16 2e 32 09 7a 39 a8 fa *** <<<
Contact information:
email: decrypt_sigrun@protonmail.ch 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Для пострадавших из России и некоторых стран СНГ (с русским основным языком) 
могут расшифровать бесплатно. 
*
*
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Sigrun)
 Write-up, Topic of Support
 🎥 Video review
 - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 S!Ri, Alex Svirid
 CyberSecurity GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *