Locdoor, DryCry

Locdoor Ransomware
DryCry Ransomware

(фейк-шифровальщик)
Translation into English

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Locdoor. На файле написано: source.exe. В заголовке веб-страницы написано "DryCry Ransomware". В общем: вымогатели не определились с названием. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение - логотип статьи

К зашифрованным файлам добавляется расширение: .door<random_number>

После слова "door" добавляется случайная цифра. Например: .door4, .door21. Этими расширениями со случайно цифрой в конце заменяется оригинальное расширение файлов. См. скриншот ниже. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных, корейских и ещё каких-то пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
Help!_How
Notice_readme_English.txt
Notice_readme_╟╤▒╣╛ε.txt
Notice_readme_∞φ▄Γ.txt

Содержание записки о выкупе Help!_How:
Bit coin is only allowed on localbitcoins.com! Send a bit coin of $ 0.1 value to at localbitcoins and send it to sealocker@daum.net with a certified photo! We will then email the recovery tool! Thank you! to Buy Recovery Tools.txt

Перевод записки на русский язык:
Биткоин только разрешена на localbitcoins.com! Пошлите биткоины на $0.1 на localbitcoins и отправьте на sealocker@daum.net доказательное фото! Затем мы отправим вам по email инструмент восстановления! Спасибо! Buy Recovery Tools.txt

Содержание записки о выкупе Notice_readme_English.txt:
Your computer's files have been encrypted to Locdoor Ransomware! To make a recovery go to localbitcoins.com and create a wallet and send a bit coin to the $ 0.10 value to the address  Then, send your verification picture to and we will send you the recovery tool! 

Перевод записки на русский язык:
Файлы вашего компьютера зашифрованы Locdoor Ransomware! Чтобы восстановить перейдите на localbitcoins.com и создайте кошелек и отправьте биткоины на $ 0.10 на адрес. Затем отправьте ваше доказательное фото и мы отправим вам инструмент восстановления!


Запиской с требованием выкупа также выступает веб-страница 9w37hde92oqvcew235.creatorlink.net:

Скриншоты верхней и нижней частей веб-страницы

Содержание текста с веб-страницы:
Locdoor Ransomware decrypt Home Page
Powerd By RubberDuck Web inc.
An important file on your computer has been encrypted to Locdoor Ransomware! Can I recover it? Yes you can do the recovery but to do the repair send a bit of coin to the value of $ 0.10 to 364apytRKNUXFmVsk5z8Wf1T7tYcoD1RTZ address at localbitcoins.com and send the certified photo to sealocker@daum.net! warning! Buying is only allowed on localbitcoins.com! Then we will send you a recovery tool by email! The best time to check out is from 2:00 pm to 6:00 pm Korea Standard Time!
Buy a bit coin and send a bit coin to this address exactly! And send a certified photo to sealocker@daum.net! Thank you ~!

Перевод на русский язык:
Locdoor Ransomware дешифрования страница
Работает на RubberDuck Web inc.
Важный файл на вашем компьютере был зашифрован Locdoor Ransomware! Могу ли я его восстановить? Да, вы можете восстановить, но чтобы сделать исправление, отправьте немного биткоинов на сумму от 0.10 до 364apytRKNUXFmVsk5z8Wf1T7tYcoD1RTZ на localbitcoins.com и отправьте доказательное фото на адрес sealocker@daum.net! Предупреждение! Покупка разрешена только на localbitcoins.com! Затем мы отправим вам инструмент для восстановления по email! Лучшее время для регистрации - с 14:00 до 18:00 по корейскому времени!
Купите биткоины и отправьте немного точно по этому адресу! И отправьте доказательное фото на sealocker@daum.net! Спасибо, ~!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются, только меняется расширение. 
После доработки под угрозой могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Help!_How
Notice_readme_English.txt
Notice_readme_╟╤▒╣╛ε.txt
Notice_readme_∞φ▄Γ.txt
Buy Recovery Tools.txt
source.exe
0.exe
<random>.exe - случайное название
diskpart.shell
wscript.vbs
source.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Temp\3.tmp
\Temp\3.tmp\source.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://9w37hde92oqvcew235.creatorlink.net/
Email: sealocker@daum.net
BTC: 364apytRKNUXFmVsk5z8Wf1T7tYcoD1RTZ
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as DryCry)
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AlldataLocker

AlldataLocker Ransomware

(шифровальщик-вымогатель, блокировщик, деструктор)
Translation into English

Этот крипто-вымогатель помещает файлы в архив и требует связаться через Telegram, чтобы заплатить узнать, как вернуть файлы. Оригинальное название: не указано. 

© Генеалогия: предыдущие zip-7zip-rar-вымогатели >> AlldataLocker

Изображение только логотип статьи

К заблокированным файлам добавляется расширение: .Lock
Файлы заперты в архив с паролем, а затем архивное расширение заменено на .Lock
Вероятно, что применено шифрование AES-256, которое обеспечивается технологией WinRar. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало и середину июля 2018 г., зафиксирована в Индии. Атаки с использованием этого вымогательства были продолжены также в сентябре 2018 года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Судя по записке вымогатели плохо знают английский язык, но это также могло быть намеренным искажением английских фраз. 

Записка с требованием выкупа называется: how to unlick your files.txt

Содержание записки о выкупе:
HOW to unlock your file?
 send Msg on telegram messanger on : https://t.me/ruberfiles
 or id : @ruberfiles
We help you for unlocking your Files
for get your PW  files pm we on telegram messanger
god luck

Перевод записки на русский язык:
Как разблокировать файл?
  отправь месагу на telegram-мессенджер: https://t.me/ruberfiles
  или id: @ruberfiles
Мы поможем тебе разблокировать твои файлы
как получить твои PW файлы, мы сообщим в telegram-мессенджере
удачи

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся блокировке:
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
alldata.Lock - все данные в архиве с паролем
for trust send us.Lock - специальный файл
how to unlick your files.txt - записка о выкупе
javid-V2-update.zip - возможный файл-источник вируса
<random>.exe - файл со случайным названием

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://t.me/ruberfiles
@ruberfiles - аккаунт вымогателей активен

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 октября 2018:
Топик на форуме >>
AllDataLocked.Lock - все данные в архиве с паролем
Fortrust send us.Lock  - специальный файл
How to unlock your files.txt - записка о выкупе
Содержание записки:
HOW to unlock your file?
 send Msg on telegram messanger on : https://t.me/ruberfiles
 or id : @ruberfiles
We help you for unlocking your Files
for get your PW  files pm we on telegram messanger
god luck

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Сообщения в СМИ, Сообщения в СМИ + myTweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 (victims in the topics of support)
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoNar

CryptoNar Ransomware 

CryptoJoker 2018

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: CryptoNar и Crypto Nar 1.0. На файле написано: CryptoNar.exe. Разработка: CryptoJoker A.E

© Генеалогия: Executioner ⇔ CryptoJoker 2017 > ExecutionerPlus > CryptoNar (CryptoJoker 2018) > CryptoJoker 2019 > CryptoJoker 2020

Изображение граната - это только логотип статьи

Этимология названия:
Nar - на турецком и азербайджанском: гранат

К зашифрованным файлам добавляются расширения:
.fully.cryptoNar - при полном шифровании;
.partially.cryptoNar - при частичном шифровании.

Точнее:
Файлы с расширениями .txt или .md шифруются целиком и к имени зашифрованного файла добавляется расширение .fully.cryptoNar

Файлы всех остальных типов шифруются частично (только первые 1024 байта) и получают расширения .partially.cryptoNar


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: CRYPTONAR RECOVERY INFORMATION.txt 

Содержание записки о выкупе:
Your important files including photos, videos, documents, databases, etc. Were encrypted with our CryptoNar ransomware. The only way to get your files back is to pay us. Otherwise, your files will be lost forever.
Important note: Removing CryptoNar will not restore access to your encrypted files.
Encryption was made using a unique RSA-2048 public key generated for this computer, to decrypt files you need to acquire the private key (decryption key).
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after 72 hours since its generation (since the moment your computer was infected), once this has been done, nobody will ever be able to restore your files.
In order to receive your decryption key, you will have to pay $200 in bitcoins to this bitcoin address: 1FeutvrVeiF8Qdnnx9Rr3CyBfHBCFeKWPq
When time comes to send the bitcoins to us, make sure to include your e-mail and your personal ID (you can see it below) in the extra information box (it may apper also as 'Extra Note' or 'optional message') in order to get your personal decryption key. It may take up to 6-8 hours to take your personal decryption key.
After the payment was made, and you received your decryption key, just press the decryption button in the decryptor (located on the desktop). Enter your decryption key you received, and wait until the decryption process is done.
Your ID: BCBEF350078BFBFF000206A7

Перевод записки на русский язык:
Ваши важные файлы, включая фото, видео, документы, базы данных и т. Д. Зашифрованы с помощью нашего CryptoNar ransomware. Единственный способ вернуть ваши файлы - это заплатить нам. В противном случае ваши файлы будут потеряны навсегда.
Важное примечание. Удаление CryptoNar не приведет к восстановлению доступа к вашим зашифрованным файлам.
Шифрование было выполнено с уникальным открытым ключом RSA-2048, сгенерированным для этого компьютера, для дешифрования файлов, необходимых для получения секретного ключа (ключ дешифрования).
Единственная копия закрытого ключа, которая позволит вам расшифровать ваши файлы, находится на секретном сервере в Интернете; сервер удалит ключ через 72 часа с момента его создания (с момента заражения вашего компьютера), как только это будет сделано, никто никогда не сможет восстановить ваши файлы.
Чтобы получить ключ дешифрования, вам придется заплатить $200 в биткоинах на этот биткоин-адрес: 1FeutvrVeiF8Qdnnx9Rr3CyBfHBCFeKWPq
Когда придет время отправить нам биткоины, обязательно добавьте свой email и свой личный ID (вы можете увидеть его ниже) в дополнительном информационном поле (оно может также использоваться как «Особая записка» или «опциональное сообщение») чтобы получить ваш личный ключ дешифрования. Для принятия вашего личного ключа дешифрования может потребоваться до 6-8 часов.
После того, как платеж был сделан, и вы получили ключ дешифрования, просто нажмите кнопку дешифрования в дешифраторе (расположенном на рабочем столе). Введите полученный ключ дешифрования и дождитесь завершения процесса дешифрования.
Ваш ID: BCBEF350078BFBFF000206A7

Информатором жертвы также выступает экран блокировки:

Технические детали

Распространяется как триал-резет к продуктам Kaspersky. 

На скриншоте видно название файла проекта kasperskytrialreset.pdb и связь с предыдущим CryptoJoker Ransomware (2017 года) и его запиской CryptoJoker Recovery Information.txt

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Файлы с расширениями .txt или .md шифруются целиком и к имени зашифрованного файла добавляется расширение .fully.cryptoNar

Параметры для файлов .txt и .md и других

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CRYPTONAR RECOVERY INFORMATION.txt 
CryptoNar.exe
asdfc4.exe
<random>.exe - случайное название
narnar - название проекта
kasperskytrialreset.pdb - файл проекта CryptoNarDecryptor.exe

 

Оригинальный файл CryptoNarDecryptor.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
CryptNarWalker90912
CryptNarWalkerDecryptor90912
Global\.net clr networking

Сетевые подключения и связи:
➤ Домены: smtp.zoho.eu
config.edge.skype.com
s-0001.s-msedge.net
client-office365-tas.msedge.net
afdo-tas-offload.trafficmanager.net
vip5.afdorigin-prod-bl02.afdogw.com
➤ IP: 185.20.209.34
13.107.3.128
40.121.213.159
157.56.120.208
95.222.164.48
➤ Email: johnstang@zoho.eu
johnsmith987654@tutanota.com
➤ BTC: 1FeutvrVeiF8Qdnnx9Rr3CyBfHBCFeKWPq
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoJoker 2016 Ransomware - январь 2016
Executioner Ransomware - начало июня 2017
CryptoJoker 2017 Ransomware - середина июня 2017
ExecutionerPlus Ransomware - декабрь 2017
CryptoNar (CryptoJoker 2018) Ransomware - август 2018
CryptoJoker 2019 Ransomware - сентябрь 2019
CryptoJoker 2020 Ransomware - ноябрь 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 5 сентября 2018:
Пост в Твиттере >>
К зашифрованным файлам добавляются расширения:
.fully.cryptoloker - при полном шифровании;
.partially.cryptoloker - при частичном шифровании.

---

=== ДЕШИФРОВЩИК === DECRYPTOR ===

Дешифровщик от Майкла Джиллеспи (Demonslay335):

Поддерживаемые варианты с расширениями: 

.fully.cryptoNar, .partially.cryptoNar, 

.fully.cryptojoker, .partially.cryptojoker, 

.pluss.executioner, .destroy.executioner, .plus.executioner, 

.fully.cryptolocker, .partially.cryptolocker

Инструкции от Майкла >> 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Вы можете скачать CryptoJokerDecrypter по ссылке >>

 - Видеообзор от CyberSecurity GrujaRS

 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as ExecutionerPlus)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Lawrence Abrams, GrujaRS
 Andrew Ivanov (article author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Termite

Termite Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Termite.exe или что-то другое. На файле написано: Termite.exe, Payment.exe

© Генеалогия: CoinMiner + Generic Malware + SmartRansom, XiaoBa, Barack Obama's EBBV и другие> Termite
Генеалогия подтверждена в Intezer Analyse >>

Изображение только логотип статьи (термит в маске анонима)

К зашифрованным файлам добавляется расширение: .aaaaaa


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2018 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
***t314.520@qq.com***

Перевод записки на русский язык:
***t314.520@qq.com***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Использует системные takeown.exe и icacls.exe для получения админ-прав на файл mswsock.pdb и смены владельца. 
➤ Использует in-addr.arpa и ip6.arpa

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Tool.xls.exe
Payment.exe 
Termite.exe
<random>.exe - случайное название
mswsock.pdb - название проекта

Расположения:
%USERPROFILE%\Desktop\Payment.exe
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
t314.520@qq.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Termite)
 Write-up, Topic of Support
 * 

 Thanks: 
 Ben Hunter, Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.