Cassetto

Cassetto Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп от 0.5 BTC и выше, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение только логотип статьи (кассета и мешок биткоинов)

К зашифрованным файлам добавляется расширение: .cassetto


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известно о пострадавших из Италии. 

Записка с требованием выкупа называется: IMPORTANT ABOUT DECRYPT.txt

Содержание записки о выкупе:
L!W2Be%BS4
WARNING!! YOU ARE SO F*UCKED!!!
Your Files Has Encrypted
What happened to your files?
All of your files were protected by a strong encryptation
There is no way to decrypt your files without the key.
If your files not important for you just reinstall your system.
If your files is important just email us to discuss the the price and how to decrypt your files.
You can email us to   omg-help-me@openmailbox.org
We accept just BITCOIN if you don´t know what it is just google it.
We will give instructions where and how you buy bitcoin in your country.
Price depends on how important your files and network is.
It could be 0.5 bitcoin to 25 bitcoin.
You can send us a encrypted file for decryption.
Fell free to email us with your country, computer name and username of the infected system.
---
*| Красным выделены слова с явными ошибками. 

Перевод записки на русский язык:
L!W2Be%BS4
ПРЕДУПРЕЖДЕНИЕ!! ВЫ ВЗЛОМАНЫ !!!
Ваши файлы зашифрованы
Что случилось с вашими файлами?
Все ваши файлы были защищены сильным шифрованием
Невозможно расшифровать файлы без ключа.
Если ваши файлы не важны для вас, просто переустановите свою систему.
Если ваши файлы важны, просто напишите нам, чтобы обсудить цену и как расшифровать ваши файлы.
Вы можете написать нам по адресу omg-help-me@openmailbox.org.
Мы принимаем только BITCOIN, если вы не знаете, что такое просто гуглите.
Мы дадим указания, где и как вы покупаете биткойн в своей стране.
Цена зависит от того, насколько важны ваши файлы и сеть.
Это может быть 0.5 биткойна до 25 биткойнов.
Вы можете отправить нам зашифрованный файл для дешифрования.
Не стесняйтесь сообщить нам по email вашу страну, имя компьютера и имя пользователя зараженной системы.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
IMPORTANT ABOUT DECRYPT.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
omg-help-me@openmailbox.org
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Cassetto)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CreamPie

CreamPie Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CreamPie v1.01. На файле написано: CreamPie.exe.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .CreamPie

Фактически используется составное расширение: .[backdata@cock.li].CreamPie


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце августа 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Info.hta
Но в представленном анализе она отсутствует. 

Имеется только экран самой программы. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CreamPie.exe
Info.hta
<random>.exe - случайное название

Расположения:
C:\ProgramData\Info.hta
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://korozya.hhos.ru/
Email: backdata@cock.li
passsenderdec@gmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as CreamPie)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jakub Kroustek, Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ONI

ONI Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью XTEA, а затем требует прислать на email ID, чтобы узнать как заплатить выкуп в # BTC и вернуть файлы. Оригинальное название: ONI. На файле написано: что попало.

Обнаружения: 
DrWeb -> Trojan.Encoder.25904
BitDefender -> Generic.Ransom.Oni.C799D4F1
Avira (no cloud) -> TR/DelFile.hanud
ESET-NOD32 -> A Variant Of Win32/Filecoder.NRV
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_INO.THHBGAH

© Генеалогия: Aurora Ransomware, AnimusLocker >> ONI

Генеалогия подтверждена Intezer Analyze >>

К зашифрованным файлам добавляется расширение: .ONI

Оригинальное имя файла вместе с расширением переименовывается в hex.

Примеры зашифрованных файлов:
312E6A7055.ONI
322E6A6858.ONI


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину августа 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RESTORE_ONI_FILES.txt

Два варианта записки с разным ID (с реального ПК и с виртуалки)

Содержание записки о выкупе:
Oops! Your files have been encrypted.
Your files are no longer accessible.
You might have been looking for any way to recover your files.
Don't waste your time, you can't recovery PC without our
decryption service.
Our email: enco@cock.email
Your ID (send it to my mail):
WVpHLsjYkt***Bk+nneEvjw=
Attention!
* Only enco@cock.email can decrypt your files
* Trust no one enco@cock.email
* Do not attempt to uninstall the program or run anti-virus tools
* Attempts to self-encrypt files will result in loss of your data
* Decoders of other users are not compatible with your data because each user has a unique encryption key

Перевод записки на русский язык:
Упс! Ваши файлы были зашифрованы.
Ваши файлы больше не доступны.
Возможно, вы ищете какой-то способ восстановить ваши файлы.
Не тратьте свое время, вы не можете восстановить ПК без нашей службы дешифровки.
Наш email: enco@cock.email
Ваш ID (отправьте его на мою почту):
WVpHLsjYkt***Bk+nneEvjw=
Внимание!
* Только enco@cock.email может расшифровать ваши файлы
* Не доверяйте никому, кроме enco@cock.emai1
* Не пытайтесь удалить программу или запустить антивирусные инструменты
* Попытки зашифровать файлы приведут к потере ваших данных
* Декодеры других пользователей несовместимы с вашими данными, т.к. каждый пользователь имеет уникальный ключ шифрования

---
ID содержит 684 знака. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, а затем выключает компьютер, используя команды:
 cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP
 cmd.exe /c wmic SHADOWCOPY DELETE
 cmd.exe /c vssadmin Delete Shadows /All /Quiet
 cmd.exe /c bcdedit /set {default} recoveryenabled No

В исходном коде это выглядит так:
/c cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP & wbadmin.exe wbadmin DELETE SYSTEMSTATEBACKUP & cmd.exe /c wmic SHADOWCOPY DELETE & WMIC.exe wmic SHADOWCOPY DELETE & cmd.exe /c vssadmin Delete Shadows /All /Quiet & vssadmin.exe vssadmin Delete Shadows /All /Quiet & cmd.exe /c bcdedit /set {default} recoveryenabled No & bcdedit.exe bcdedit /set {default} recoveryenabled No & cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускаются файлы, которые находятся в следующих директориях:
$recycle.bin
$windows.~bt
Boot
drivers
Program Files
program files (x86)
ProgramData
Windows

Файлы, связанные с этим Ransomware:
RESTORE_ONI_FILES.txt
ose.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
enco@cock.email
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Aurora Ransomware - май 2018
Animus Locker Ransomware - с расширением .animus - июнь 2018
Animus Locker Ransomware с расширением .desu - июль 2018
ONI Ransomware - август 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Скачайте дешифровщик по этой ссылке >>
***
Это общий дешифровщик для Aurora, AnimusLocker, ONI.

 Read to links: 
 Tweet on Twitter + Tweet + myTweet 
 ID Ransomware (ID under Aurora)
 Write-up, Topic of Support
 🎥 Video review >>

 - Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov, GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

TotalWipeOut

TotalWipeOut Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1XMR / $200, чтобы вернуть файлы. Оригинальное название: TotalWipeOut. На файле написано: TotalWipeOut.exe.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .TW


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце августа 2018 г. Ориентирован на разнооязычных пользователей, так как текст написан на 9 языках (английском, испанском, португальском, хинди, русском, японском и др.) что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение, заменяющее обои:

Содержание записки о выкупе:
Hello. All of files may have been encrypted. If this is the case - The price of the decryption tool is 1 XMR / $200 ~
Hola. Todos los archivos pueden haber sido encriptados. Si este es el caso, el precio de la herramienta de descifrado es 1 XMR / $ 200 ~
***
Здравствуйте. Все файлы могут быть зашифрованы. Если это так - цена инструмента дешифрования составляет 1 XMR / $ 200 ~
***

Перевод записки на русский язык:
уже сделан вымогателями.

Неиспользованным ресурсом является тестовый файл _______READ_FOR_YOUR_FILES_______
Вероятно это могла быть записка с требованием выкупа.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
TotalWipeOut.exe
Files.txt
_______READ_FOR_YOUR_FILES_______
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as TotalWipeOut)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Barack Obama's EBBV

Barack Obama's Blackmail Virus Ransomware

Barack Obama's Everlasting Blue Blackmail Virus

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует exe-файлы в системах пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Barack Obama's Everlasting Blue Blackmail Virus. На файле написано: Barack Obama's Everlasting Blue Blackmail Virus. Другие названия у аверов: CryptExe, KillAV, AntiAV. 

© Генеалогия: Barack Obama's EBBV ⇔ Termite
Родство подтверждено Intezer Analyse >>

К зашифрованным exe-файлам никакое расширение не добавляется.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину и вторую половину августа 2018 г. Ориентирован на англоязычных и ещё-каких-то иноязычных пользователей (вероятно, китайских), что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе (часть на английском):
Hello, your computer is encrypted by me! Yeah, that means your EXE file isn't open! Because I encrypted it.
So you can decrypt it, but you have to tip it. This is a big thing. You can email this email: 2200287831@qq.com gets more information.

Перевод текста на русский язык:
Привет, ваш компьютер зашифрован мной! Это значит, что ваш EXE-файл не открывается! Так как я зашифровал его.
Вы можете расшифровать его, но должны заплатить за это. Вам нужно отправить письмо на email: 2200287831@qq.com для дополнительной информации.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Завершает работу антивирусных процессов Kaspersky, McAfee и Rising командами: 
taskkill /f /im kavsvc.exe
taskkill /f /im KVXP.kxp
taskkill /f /im Rav.exe
taskkill /f /im Ravmon.exe
taskkill /f /im Mcshield.exe
taskkill /f /im VsTskMgr.exe

➤ Модифицирует ключи системного реестра, отчающие за ассоциации с exe-файлами, чтобы изменить иконки на красные (см. скриншот ниже) и запускаться при каждой попытке пользователя запустит любой exe-файл.

Зашифрованные exe-файлы с красным значком

Список файловых расширений, подвергающихся шифрованию:
Шифруются только все найденные exe-файлы. 

Файлы, связанные с этим Ransomware:
codexgigas_.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
В время процесса шифрования этот Ransomware изменяет ключи реестра, связанные с файлами exe-файлами, чтобы они использовали новый значок и запустили вирус каждый раз, когда кто-то запускает исполняемый файл. Измененные ключи перечислены ниже:
HKLM\SOFTWARE\Classes\exe
HKLM\SOFTWARE\Classes\exe\
HKLM\SOFTWARE\Classes\exe\EditFlags 2
HKLM\SOFTWARE\Classes\exe\DefaultIcon
HKLM\SOFTWARE\Classes\exe\DefaultIcon\ C:\Users\User\codexgigas_.exe,0
HKLM\SOFTWARE\Classes\exe\Shell
HKLM\SOFTWARE\Classes\exe\Shell\Open
HKLM\SOFTWARE\Classes\exe\Shell\Open\Command
HKLM\SOFTWARE\Classes\exe\Shell\Open\Command\ "C:\Users\User\codexgigas_.exe" "%1"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://ftp.free3v.net/
Email: 2200287831@qq.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Blue Blackmail)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Lawrence Abrams
 Andrew Ivanov, Michael Gillespie
 Intezer Analyze
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.