Если вы не видите здесь изображений, то используйте VPN.

пятница, 31 августа 2018 г.

AlldataLocker

AlldataLocker Ransomware

(шифровальщик-вымогатель, блокировщик, деструктор)
Translation into English


Этот крипто-вымогатель помещает файлы в архив и требует связаться через Telegram, чтобы заплатить узнать, как вернуть файлы. Оригинальное название: не указано. 

© Генеалогия: предыдущие zip-7zip-rar-вымогатели >> AlldataLocker


Изображение только логотип статьи

К заблокированным файлам добавляется расширение: .Lock
Файлы заперты в архив с паролем, а затем архивное расширение заменено на .Lock
Вероятно, что применено шифрование AES-256, которое обеспечивается технологией WinRar. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало и середину июля 2018 г., зафиксирована в Индии. Атаки с использованием этого вымогательства были продолжены также в сентябре 2018 года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Судя по записке вымогатели плохо знают английский язык, но это также могло быть намеренным искажением английских фраз. 

Записка с требованием выкупа называется: how to unlick your files.txt

Содержание записки о выкупе:
HOW to unlock your file?
 send Msg on telegram messanger on : https://t.me/ruberfiles
 or id : @ruberfiles
We help you for unlocking your Files
for get your PW  files pm we on telegram messanger
god luck

Перевод записки на русский язык:
Как разблокировать файл?
  отправь месагу на telegram-мессенджер: https://t.me/ruberfiles
  или id: @ruberfiles
Мы поможем тебе разблокировать твои файлы
как получить твои PW файлы, мы сообщим в telegram-мессенджере
удачи



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся блокировке:
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
alldata.Lock - все данные в архиве с паролем
for trust send us.Lock - специальный файл
how to unlick your files.txt - записка о выкупе
javid-V2-update.zip - возможный файл-источник вируса
<random>.exe - файл со случайным названием

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://t.me/ruberfiles
@ruberfiles - аккаунт вымогателей активен
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 1 октября 2018:
Топик на форуме >>
AllDataLocked.Lock - все данные в архиве с паролем
Fortrust send us.Lock  - специальный файл
How to unlock your files.txt - записка о выкупе
Содержание записки:
HOW to unlock your file?
 send Msg on telegram messanger on : https://t.me/ruberfiles
 or id : @ruberfiles
We help you for unlocking your Files
for get your PW  files pm we on telegram messanger
god luck



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Сообщения в СМИ, Сообщения в СМИ + myTweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 (victims in the topics of support)
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 28 августа 2018 г.

CryptoNar

CryptoNar Ransomware 

CryptoJoker 2018

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: CryptoNar и Crypto Nar 1.0. На файле написано: CryptoNar.exe. Разработка: CryptoJoker A.E

© Генеалогия: ExecutionerCryptoJoker 2017 > ExecutionerPlus > CryptoNar (CryptoJoker 2018) > CryptoJoker 2019 
CryptoJoker 2020
Изображение граната - это только логотип статьи

Этимология названия:
Nar - на турецком и азербайджанском: гранат

К зашифрованным файлам добавляются расширения:
.fully.cryptoNar - при полном шифровании;
.partially.cryptoNar - при частичном шифровании.

Точнее:
Файлы с расширениями .txt или .md шифруются целиком и к имени зашифрованного файла добавляется расширение .fully.cryptoNar

Файлы всех остальных типов шифруются частично (только первые 1024 байта) и получают расширения .partially.cryptoNar


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: CRYPTONAR RECOVERY INFORMATION.txt 
Содержание записки о выкупе:
Your important files including photos, videos, documents, databases, etc. Were encrypted with our CryptoNar ransomware. The only way to get your files back is to pay us. Otherwise, your files will be lost forever.
Important note: Removing CryptoNar will not restore access to your encrypted files.
Encryption was made using a unique RSA-2048 public key generated for this computer, to decrypt files you need to acquire the private key (decryption key).
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after 72 hours since its generation (since the moment your computer was infected), once this has been done, nobody will ever be able to restore your files.
In order to receive your decryption key, you will have to pay $200 in bitcoins to this bitcoin address: 1FeutvrVeiF8Qdnnx9Rr3CyBfHBCFeKWPq
When time comes to send the bitcoins to us, make sure to include your e-mail and your personal ID (you can see it below) in the extra information box (it may apper also as 'Extra Note' or 'optional message') in order to get your personal decryption key. It may take up to 6-8 hours to take your personal decryption key.
After the payment was made, and you received your decryption key, just press the decryption button in the decryptor (located on the desktop). Enter your decryption key you received, and wait until the decryption process is done.
Your ID: BCBEF350078BFBFF000206A7

Перевод записки на русский язык:
Ваши важные файлы, включая фото, видео, документы, базы данных и т. Д. Зашифрованы с помощью нашего CryptoNar ransomware. Единственный способ вернуть ваши файлы - это заплатить нам. В противном случае ваши файлы будут потеряны навсегда.
Важное примечание. Удаление CryptoNar не приведет к восстановлению доступа к вашим зашифрованным файлам.
Шифрование было выполнено с уникальным открытым ключом RSA-2048, сгенерированным для этого компьютера, для дешифрования файлов, необходимых для получения секретного ключа (ключ дешифрования).
Единственная копия закрытого ключа, которая позволит вам расшифровать ваши файлы, находится на секретном сервере в Интернете; сервер удалит ключ через 72 часа с момента его создания (с момента заражения вашего компьютера), как только это будет сделано, никто никогда не сможет восстановить ваши файлы.
Чтобы получить ключ дешифрования, вам придется заплатить $200 в биткоинах на этот биткоин-адрес: 1FeutvrVeiF8Qdnnx9Rr3CyBfHBCFeKWPq
Когда придет время отправить нам биткоины, обязательно добавьте свой email и свой личный ID (вы можете увидеть его ниже) в дополнительном информационном поле (оно может также использоваться как «Особая записка» или «опциональное сообщение») чтобы получить ваш личный ключ дешифрования. Для принятия вашего личного ключа дешифрования может потребоваться до 6-8 часов.
После того, как платеж был сделан, и вы получили ключ дешифрования, просто нажмите кнопку дешифрования в дешифраторе (расположенном на рабочем столе). Введите полученный ключ дешифрования и дождитесь завершения процесса дешифрования.
Ваш ID: BCBEF350078BFBFF000206A7

Информатором жертвы также выступает экран блокировки:



Технические детали

Распространяется как триал-резет к продуктам Kaspersky. 
На скриншоте видно название файла проекта kasperskytrialreset.pdb и связь с предыдущим CryptoJoker Ransomware (2017 года) и его запиской CryptoJoker Recovery Information.txt

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Файлы с расширениями .txt или .md шифруются целиком и к имени зашифрованного файла добавляется расширение .fully.cryptoNar
Параметры для файлов .txt и .md и других


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CRYPTONAR RECOVERY INFORMATION.txt 
CryptoNar.exe
asdfc4.exe
<random>.exe - случайное название
narnar - название проекта
kasperskytrialreset.pdb - файл проекта CryptoNarDecryptor.exe
 
Оригинальный файл CryptoNarDecryptor.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
CryptNarWalker90912
CryptNarWalkerDecryptor90912
Global\.net clr networking

Сетевые подключения и связи:
➤ Домены: smtp.zoho.eu
config.edge.skype.com
s-0001.s-msedge.net
client-office365-tas.msedge.net
afdo-tas-offload.trafficmanager.net
vip5.afdorigin-prod-bl02.afdogw.com
➤ IP: 185.20.209.34
13.107.3.128
40.121.213.159
157.56.120.208
95.222.164.48
 Email: johnstang@zoho.eu
johnsmith987654@tutanota.com
➤ BTC: 1FeutvrVeiF8Qdnnx9Rr3CyBfHBCFeKWPq
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoJoker 2016 Ransomware - январь 2016
Executioner Ransomware - начало июня 2017
CryptoJoker 2017 Ransomware - середина июня 2017
ExecutionerPlus Ransomware - декабрь 2017
CryptoNar (CryptoJoker 2018) Ransomware - август 2018
CryptoJoker 2019 Ransomware - сентябрь 2019
CryptoJoker 2020 Ransomware - ноябрь 2020



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 5 сентября 2018:
Пост в Твиттере >>
К зашифрованным файлам добавляются расширения:
.fully.cryptoloker - при полном шифровании;
.partially.cryptoloker - при частичном шифровании.



=== ДЕШИФРОВЩИК === DECRYPTOR ===


Дешифровщик от Майкла Джиллеспи (Demonslay335):
Поддерживаемые варианты с расширениями: 
.fully.cryptoNar, .partially.cryptoNar, 
.fully.cryptojoker, .partially.cryptojoker, 
.pluss.executioner, .destroy.executioner, .plus.executioner, 
.fully.cryptolocker, .partially.cryptolocker



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Вы можете скачать CryptoJokerDecrypter по ссылке >>
 - Видеообзор от CyberSecurity GrujaRS
 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as ExecutionerPlus)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Lawrence Abrams, GrujaRS
 Andrew Ivanov (article author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Termite

Termite Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Termite.exe или что-то другоеНа файле написано: Termite.exe, Payment.exe

© Генеалогия: CoinMiner + Generic Malware + SmartRansom, XiaoBaBarack Obama's EBBV и другие> Termite
Генеалогия подтверждена в Intezer Analyse >>


Изображение только логотип статьи (термит в маске анонима)

К зашифрованным файлам добавляется расширение: .aaaaaa


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2018 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:


Содержание записки о выкупе:
***t314.520@qq.com***

Перевод записки на русский язык:
***t314.520@qq.com***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ Использует системные takeown.exe и icacls.exe для получения админ-прав на файл mswsock.pdb и смены владельца. 
 Использует in-addr.arpa и ip6.arpa

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Tool.xls.exe
Payment.exe 
Termite.exe
<random>.exe - случайное название
mswsock.pdb - название проекта

Расположения:
%USERPROFILE%\Desktop\Payment.exe
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
t314.520@qq.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Termite)
 Write-up, Topic of Support
 * 
 Thanks: 
 Ben Hunter, Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 27 августа 2018 г.

Cassetto

Cassetto Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп от 0.5 BTC и выше, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение только логотип статьи (кассета и мешок биткоинов)

К зашифрованным файлам добавляется расширение: .cassetto


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известно о пострадавших из Италии. 

Записка с требованием выкупа называется: IMPORTANT ABOUT DECRYPT.txt

Содержание записки о выкупе:
L!W2Be%BS4
WARNING!! YOU ARE SO F*UCKED!!!
Your Files Has Encrypted
What happened to your files?
All of your files were protected by a strong encryptation
There is no way to decrypt your files without the key.
If your files not important for you just reinstall your system.
If your files is important just email us to discuss the the price and how to decrypt your files.
You can email us to   omg-help-me@openmailbox.org
We accept just BITCOIN if you don´t know what it is just google it.
We will give instructions where and how you buy bitcoin in your country.
Price depends on how important your files and network is.
It could be 0.5 bitcoin to 25 bitcoin.
You can send us a encrypted file for decryption.
Fell free to email us with your country, computer name and username of the infected system.
---
*| Красным выделены слова с явными ошибками. 

Перевод записки на русский язык:
L!W2Be%BS4
ПРЕДУПРЕЖДЕНИЕ!! ВЫ ВЗЛОМАНЫ !!!
Ваши файлы зашифрованы
Что случилось с вашими файлами?
Все ваши файлы были защищены сильным шифрованием
Невозможно расшифровать файлы без ключа.
Если ваши файлы не важны для вас, просто переустановите свою систему.
Если ваши файлы важны, просто напишите нам, чтобы обсудить цену и как расшифровать ваши файлы.
Вы можете написать нам по адресу omg-help-me@openmailbox.org.
Мы принимаем только BITCOIN, если вы не знаете, что такое просто гуглите.
Мы дадим указания, где и как вы покупаете биткойн в своей стране.
Цена зависит от того, насколько важны ваши файлы и сеть.
Это может быть 0.5 биткойна до 25 биткойнов.
Вы можете отправить нам зашифрованный файл для дешифрования.
Не стесняйтесь сообщить нам по email вашу страну, имя компьютера и имя пользователя зараженной системы.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
IMPORTANT ABOUT DECRYPT.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
omg-help-me@openmailbox.org
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Cassetto)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *