Если вы не видите здесь изображений, то используйте VPN.

понедельник, 24 сентября 2018 г.

GandCrab-5

GandCrab-5 Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее для пострадавших из РоссииБеларусиКазахстанаУкраины >>>



Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью алгоритма Salsa20, а RSA-2048 используется для вспомогательного шифрования ключей. Затем требует выкуп в ~$800-1200-2400 в DASH или в BTC, чтобы вернуть файлы. Оригинальное название: GandCrab Ransomware v5. На файле может быть написано, что попало. 

🎥 Для вас подготовлен видеообзор атаки этого шифровальщика >>>

Обнаружения: 
DrWeb -> Trojan.Encoder.24384
BitDefender -> Generic.Ransom.GandCrab4.8CBC6992
ALYac -> Trojan.Ransom.GandCrab
ESET-NOD32 -> A Variant Of Win32/Filecoder.GandCrab.D
McAfee -> Ran-GandCrabv4!07FADB006486
Symantec -> Ransom.GandCrab

TrendMicro -> Ransom_GANDCRAB.THAOOAAH

© Генеалогия: GandCrab > GandCrab-2 > GandCrab-3 > GandCrab-4 > GandCrab-5
Родство этого шифровальщика подтверждено сервисом Intezer Analyze >>

Изображение не принадлежит шифровальщику (это логотип статьи)

К зашифрованным файлам добавляется случайное (динамическое) расширение из 5-ти букв или больше: .<random{5}> или .<random{5-9}> в версии 5.0.2 и далее. 

Например:
.fbkdp
.ibagx
.qikka
.eiuhtxjzs - вариант расширения в версии 5.0.2


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2018 г. Ориентирован на англоязычных и других иноязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется по шаблону: <RANDOM{5}>-DECRYPT.html

Случайное расширение из пяти знаков, добавляемое к зашифрованным файлам, используется в названии записки о выкупе. 

Примеры записок: 
XMMFA-DECRYPT.html
IBAGX-DECRYPT.html
QIKKA-DECRYPT.html

Примеры зашифрованных файлов: 
My-new-play-composition.txt.xmmfa
Current-Database-123.wmdb.ibagx
Music-played-the-most.wpl.qikka

Оригинальное содержание записки о выкупе
Вариант записки с другим случайным названием и расширением файлов

Содержание записки о выкупе:
---= GANDCRAB V5.0 =--- 
Attention!
 All your files, documents, photos, databases and other important files are encrypted and have the extension: .XMMFA 
 The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
 The server with your key is in a closed network TOR. You can get there by the following ways:>
---------------------------------------------------------------------------------------->
•Download Tor browser - https://www.torproject.org/ 
• Install Tor browser 
• Open Tor Browser 
• Open link in TOR browser: http://gandcrabmfe6mnef.onion/e499c8afc4ba3647 
• Follow the instructions on this page
----------------------------------------------------------------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
 ATTENTION! 
 IN ORDER TO PREVENT DATA DAMAGE:
 * DO NOT MODIFY ENCRYPTED FILES
 * DO NOT CHANGE DATA BELOW

Перевод записки на русский язык:
--- = GANDCRAB V5.0 = ---
Внимание!
  Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .XMMFA
  Единственный способ восстановления файлов - купить уникальный закрытый ключ. Только мы можем дать вам этот ключ и вернуть ваши файлы.
  Сервер с вашим ключом находится в закрытой сети TOR. Вы можете добраться туда следующими способами:>
-------------------------------------------------- -------------------------------------->
• Загрузите браузер Tor - https://www.torproject.org/
• Установите браузер Tor
• Откройте браузер Tor
• Откройте ссылку в TOR-браузере: http://gandcrabmfe6mnef.onion/e499c8afc4ba3647
• Следуйте инструкциям на этой странице
-------------------------------------------------- --------------------------------------
На нашей странице вы увидите инструкции по оплате и получите возможность дешифровать 1 файл бесплатно.
  ВНИМАНИЕ!
  ДЛЯ ПРЕДОТВРАЩЕНИЯ ПОВРЕЖДЕНИЯ ДАННЫХ:
  * НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ
  * НЕ ИЗМЕНЯЙТЕ ДАННЫЕ НИЖЕ

Другим информатором жертвы выступает изображение pidor.bmp, заменяющее обои Рабочего стола.




Более полная информация содержится на onion-сайте вымогателей:
 Первая страница целиком
Вторая страница целиком
Языковая поддержка

Скриншоты страниц сайта без шапки:
1)  2)

3)  4)


Содержание первой страницы сайта:
We are sorry, but your files have been encrypted!
Don't worry, we can help you to return all of your files!
Files decryptor's price is 2400 USD
If payment isn't made until 2018-07-20 02:32:41 UTC the cost of decrypting files will be doubled
Amount was doubled!
Time left to double price:
-----------------------------------------------------------------------------------------
    What the matter?   Buy GandCrab Decryptor    Support is 24/7   Test decrypt
-----------------------------------------------------------------------------------------
Please turn on javascript!!
What the matter?
Your computer has been infected with GandCrab Ransomware. Your files have been encrypted and you can't decrypt it by yourself.
In the network, you can probably find decryptors and third-party software, but it won't help you and it only can make your files undecryptable
What can I do to get my files back?
You should buy GandCrab Decryptor. This software will help you to decrypt all of your encrypted files and remove GandCrab Ransomware from your PC.
Current price: $2,400.00. As payment, you need cryptocurrency DASH or Bitcoin
What guarantees can you give to me?
You can use test decryption and decrypt 1 file for free
What is cryptocurrency and how can I purchase GandCrab Decryptor?
You can read more details about cryptocurrency at Google or here.
As payment, you have to buy DASH or Bitcoin using a credit card, and send coins to our address.
How can I pay to you?
You have to buy Bitcoin or DASH using a credit card. Links to services where you can do it: Dash exchanges list, Bitcoin exchanges list
After it, go to our payment page Buy GandCrab Decryptor, choose your payment method and follow the instructions

Содержание второй страницы сайта:
Please turn on javascript!!
DASH
Bitcoin
Promotion code 
Payment amount: 12.14390528 DSH ( $2,400.00 )
1 DSH = $197.63
    Buy cryptocurrency DASH. Here you can find services where you can do it.
    Send 12.14390528 DSH to the address:
    Please turn on javascript!!
    Attention!
    Please be careful and check the address visually after copy-pasting (because there is a probability of a malware on your PC that monitors and changes the address in your clipboard)
    If you don't use TOR Browser:
    Send a verification payment for a small amount, and then, make sure that the coins are coming, then send the rest of the amount.
    We won't take any responsibility if your funds don't reach us
    After payment, you will see your transactions bellow
    The transaction will be confirmed after it receives 3 confirmations (usually it takes about 10 minutes)
Transactions list
TX Amount Status
None
This process is fully automated, all payments are instant.
After your payment, please refresh this page and get an opportunity to download GandCrab's Decryptor! 



Технические детали

Для распространения применяется метод обманных загрузок с взломанными, перепакованными (RePack) и заражёнными инсталляторами популярных программ, игр и прочего софта. Когда пользователь загружает и запускает эти программы, то они устанавливают на ПК GandCrab-5 или предыдущие версии. 

Также мы опросили несколько пострадавших из разных стран мира и выяснили с чем было связано распространение GandCrab-5. Главным образом это пиратский софт и активаторы для MS Office и Windows. Загрузки ведутся с помощью торрент-клиентов и магнитных ссылок. Из-за этого пострадавшие не могут точно указать на сайт. Такие файлы и ссылки могут храниться на ПК бесконечно долго и использоваться несколько раз.  
На скриншоте представлен один из самых популярных вариантов распространения GandCrab. Остерегайтесь загружать и использовать это на своих ПК. 

Также используются взломанные сайты, созданные на платформе WordPress. Даже при беглом просмотре мы обнаружили множество зараженных сайтов с вредоносными страницами (см. ниже "Сетевые подключения и связи"), среди которые есть уже очищенные. Ссылки вели как на сами страницы, так и на то, что на них размещается, в том числе изображения. Активно используется перенаправление на специальные зараженные страницы. 

Вымогатели заявили о сотрудничестве с группой, собирающей набор эксплойтов Fallout Exploit Kit (Fallout EK), который установлен на уязвимых сайтах и ​​пытается использовать уязвимости, имеющиеся в системе потенциальной жертвы. Пока в Fallout EK используется два известных эксплойта - один для Adobe Flash Player (CVE-2018-4878) и один для Windows VBScript (CVE-2018-8174).

Вымогатели также заявляют, что договорились о сотрудничестве с разработчиками (или распространителями) криптера NTCrypt. 

Вероятно, как и раньше, GandCrab-5 может использовать вредоносные DOC-файлы с макросами для инфицирования при открытии. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, торрент-файлов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


GandCrab-5 ставит свои обои на Рабочий стол, как было в 3-й версии, но не было в 4-й версии.  Снова используется файл pidor.bmp

➤ После завершения шифрования удаляет теневые копии командой: 
WMIC.exe shadowcopy delete

➤ Также используется оскорбительная картинка, обращенная к AhnLab, расположенная на адресе: xxxx://memesmix.net/media/created/dd0doq.jpg

➤ GandCrab-5 не использует C&C сервер, поэтому он может шифровать файлы пользователей, чьи ПК не подключены к Интернету.

➤ GandCrab-5 шифрует сетевые ресурсы, которые использует пострадавший ПК. 

➤ Определяет язык системы и показывает требования на данном языке. 

➤ GandCrab-5 использует обнаруженную недавно уязвимость Планировщика задач "Windows Task Scheduler Zero Day Exploited by Malware" (ALPC-TaskSched-LPE или "Windows Task Scheduler ALPC Zero-Day"), которая позволяет запускать исполняемые файлы с привилегиями системных приложений, что позволяет выполнять команды с административными правами. Уязвимость затрагивает версии с Windows 7-8/8.1-10 x32/x64 и может использоваться злоумышленником для повышения привилегий их вредоносных программ. 
Уязвимость ALPC-TaskSched-LPE на момент выпуска GandCrab-5 оставалась без критического исправления. Перед началом распространения разработчики-вымогатели финализировали эксплойт, чтобы он поддерживал атаки на все версии Windows, от XP до 10-ки. 

➤ Добавляет в свои html-записки о выкупе следующие объекты HTML
В предыдущих версиях для запутывания кода добавлялись тексты на экзотических языках. 

➤ Вымогатели сообщают, что ускорили шифрование с алгоритмом Salsa20 за счёт поэтапного шифрования (файлы зашифрованы не полностью). 

Список файловых расширений, подвергающихся шифрованию:
 .1st, .602, .7z, .7-zip, .abw, .act, .adoc, .aim, .ans, .apkg, .apt, .arj, .asc, .asc, .ascii, .ase, .aty, .awp, .awt, .aww, .cab, .doc, .docb, .docx, .dotm, .gzip, .iso, .lzh, .lzma, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .rar, .sldm, .sldx, .tar, .vbo, .vdi, .vmdk, .vmem, .vmx, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xps, .z, .zip (63 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Так выглядит полностью зашифрованный GandCrab-5 файл: 


Файлы, связанные с этим Ransomware:
<RANDOM>-DECRYPT.html
%s-DECRYPT.html
%s-DECRYPT.txt
XMMFA-DECRYPT.html
IBAGX-DECRYPT.html
QIKKA-DECRYPT.html
KRAB-DECRYPT.html
KRAB-DECRYPT.txt
CRAB-DECRYPT.txt
pidor.bmp
Loader.exe - анти-VM-модуль
Winsvc32.exe - копия анти-VM-модуля
Randomld.exe - собственно GandCrab-5
<random>.exe - случайное название

Как и раньше используются файлы .lock
Примеры: 
24c2b14724c2b6af610.lock
805BAFB9C36E15079587.lock

Мьютексы: 
Global\8B5BA8B9F369050F5F4C.lock
Global\XlAKFoxSKGOfSGOoSFOOFNOLPE

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\AppData\Local\Temp\pidor.bmp
C:\Windows\T08606085085860\winsvc32.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
TOR-url: xxxx://gandcrabmfe6mnef.onion/***
xxxx://gandcrabmfe6mnef.onion/e499c8afc4ba3647
xxxx://malc0de.com/database/
Картинка из прошлых версий: 
xxxx://memesmix.net/media/created/dd0doq.jpg
➤ Вредоносные и эксплуатируемые сайты:
zaeba.co.uk 
www.wash-wear.com 
www.rment.in 
www.poketeg.com 
www.perfectfunnelblueprint.com 
www.n2plus.co.th 
www.mimid.cz 
www.macartegrise.eu 
www.lagouttedelixir.com
www.krishnagrp.com
www.ismcrossconnect.com
www.himmerlandgolf.dk
www.groupwine.fr
www.fabbfoundation.gm
www.cakav.hu
www.billerimpex.com
wpakademi.com
vjccons.com.vn
unnatimotors.in
topstockexpert.su
top-22.ru
tommarmores.com.br
test.theveeview.com
smbardoli.org
simetribilisim.com
sherouk.com
royal.by
relectrica.com.mx
pp-panda74.ru
picusglancus.pl
perovaphoto.ru
ocsp.trust-provider.com
ocsp.int-x3.letsencrypt.org
ocsp.comodoca4.com
oceanlinen.com
nesten.dk
mrngreens.com
mauricionacif.com
marketisleri.com
lucides.co.uk
krasnaypolyana123.ru
koloritplus.ru
isrg.trustid.ocsp.identrust.com
hoteltravel2018.com
hanaglobalholding.com
h5s.vn
graftedinn.us
goodapd.website
evotech.lu
dna-cp.com
dna-cp.com
diadelorgasmo.cl
devdev.com.br
cyclevegas.com
cevent.net
boatshowradio.com
blokefeed.club
bloghalm.eu
big-game-fishing-croatia.hr
bethel.com.ve
bellytobabyphotographyseattle.com
aurumwedding.ru
asl-company.ru
alem.be
acbt.fr
6chen.cn

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
☢ VXVault образец >>
Hybrid анализ >>  +HA
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>  +AR
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

PDF-материалы с результатами:
CybSec
GDATA
Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
   
GandCrab Ransomware
GandCrab RaaS Ransomware
GandCrab-2 Ransomware
GandCrab-3 Ransomware
GandCrab-4 Ransomware
GandCrab-5 Ransomware



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 26 сентября 2018:
Текстовая записка о выкупе: HZNKS-DECRYPT.txt
Шаблон текcтовой записки: <RANDOM{5}>-DECRYPT.txt
➤ Содержание записки:
---= GANDCRAB V5.0 =--- 
Attention! 
All your files, documents, photos, databases and other important files are encrypted and have the extension: .HZNKS        
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
| 0. Download Tor browser - https://www.torproject.org/ 
| 1. Install Tor browser 
| 2. Open Tor Browser 
| 3. Open link in TOR browser:   http://gandcrabmfe6mnef.onion/e499c8afc4ba3647
| 4. Follow the instructions on this page 
----------------------------------------------------------------------------------------                    
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. 
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
---BEGIN GANDCRAB KEY---
lAQAAFJpmXnMMDcvOkOQaHzA7*****sNnMuiRhYVg=
---END GANDCRAB KEY---
---BEGIN PC DATA---
wfKD6iudumBkmpL8IRr4U6exEV*****BdhMMZGpHg==
---END PC DATA---



Обновление от 29 сентября 2018:
Версия: 5.0.1
Пост в Твиттере >>
Расширение: .<random{5}>
Записки: <RANDOM{5}>-DECRYPT.html
<RANDOM{5}>-DECRYPT.txt


Обновление от 1 октября 2018: 
Пост в Твиттере >>
Скриншот с сайта  exploit.in
Часть информации, имеющейся в тексте на скриншоте, уже есть в "Технических деталях" в основной статье выше. 

Обновление от 1 октября 2018: 
Версия: 5.0.2
Пост в Твиттере >>
Пост на форуме >>
Расширение: .<random{5-9}>
Записки: <RANDOM{5-9}>-DECRYPT.html
<RANDOM{5}>-DECRYPT.txt
URLs: xxxx://gandcrabmfe6mnef.onion/7d05b971bc1a5e19 
xxxx://gandcrabmfe6mnef.onion/e499c8afc4ba3647
Скриншот записки и изображения:
➤ Содержание записки о выкупе:
---=    GANDCRAB V5.0.2  =--- 
Attention! 
All your files, documents, photos, databases and other important files are encrypted and have the extension: .EIUHTXJZS
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
| 0. Download Tor browser - https://www.torproject.org/ 
| 1. Install Tor browser 
| 2. Open Tor Browser 
| 3. Open link in TOR browser:   ***
| 4. Follow the instructions on this page 
----------------------------------------------------------------------------------------                    
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. 
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
---BEGIN GANDCRAB KEY---
lAQAALRIFLlHrvGelKfYkRPhOg4DIks7v***
---END GANDCRAB KEY---
---BEGIN PC DATA---
wfKD6iudumBkmpL8IRr4U4OxG1avOXPt***
---END PC DATA---
Скриншот письма с вредоносным вложением
Результаты анализов: 
1-й образец на VB
2-й образец на VB
Демонстрация: AR
---
➤ Скомпрометированные и эксплуатируемые сайты:
www.poketeg.com
www.acartegrise.eu
www.perovaphoto.ru
www.asl-company.ru

Обновление от 13 октября 2018:
Пост в Твиттере >>
Редизайн страницы оплаты выкупа:
- светлая тема;
- тёмная тема. 


Обновление от 14 октября 2018:
Версия: 5.0.4
Пост в Твиттере >>
Расширение: .<random{5-9}>
Записка: <RANDOM{5-9}>-DECRYPT.txt
Видеообзор от GrujaRS >>

Обновление от 16 октября 2018: 
Версия: 5.0.2
Пост на форуме >>
Расширение: .<random{5-9}>
Пример расширения: .hhfehiol
Записка: <RANDOM{5-9}>-DECRYPT.txt
Пример записки: HHFEHIOL-DECRYPT.txt
Email-1: ik253@email.vccs.edu
Email-2: MilesFlannagan@protonmail.com
➤ Содержание записки: 
---=    GANDCRAB V5.0.2  =--- 
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE WILL BE DECRYPTION ERRORS*****
Attention! 
All your files, documents, photos, databases and other important files are encrypted and have the extension: .HHFEHIOL
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
| 0. Download Tor browser - https://www.torproject.org/ 
| 1. Install Tor browser 
| 2. Open Tor Browser 
| 3. Open link in TOR browser:   
| 4. Follow the instructions on this page 
----------------------------------------------------------------------------------------                    
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. 
You can contact our support using e-mail. Our addresses:
Primary:    ik253@email.vccs.edu
Secondary:  MilesFlannagan@protonmail.com
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
---BEGIN GANDCRAB KEY---
lAQAAAqiJ8fjEfP/BgCAYmmnVYBmurRATdfd/5xp***ZniT+trzB+bAnuro=
---END GANDCRAB KEY---
---BEGIN PC DATA---
wfKD6iudumBkmpL8IRr4U5WxLFaWOU/t6zxNOu***HlsS353Mhh
---END PC DATA---

Обновление от 17 октября 2018:
Для пострадавших от GandCrab-5 из Сирии разработчики шифровальщика-вымогателя выпустили бесплатные ключи дешифрования. Для этой и всех предыдущих версий. Сирия, вероятно, теперь будет включена в белый список стран. 
Статья об этом >>


Обновление от 11 ноября 2018:
Версия: 5.0.4
UMGUNBNRYF-DECRYPT.txt
Скриншот записки:

Обновление от 16 ноября 2018:
Версия: 5.0.4
Результаты анализов: AR


Обновление от 17 декабря 2018:
Пост в Твиттере >>
Версия: 5.0.7

Обновление от 18 декабря 2018:
Пост в Твиттере >>
Версии 5.0.8, 5.1.0, 5.1.4, 5.1.5, 5.1.6
Результаты анализов: VT + VT + VT + VT + VT 

=== 2019 ===

Обновление от 17 января 2019:
Пост в Твиттере >>
Расширение: .AGFQZVOA
Записка: AGFQZVOA-DECRYPT.txt
Результаты анализов: AR + VT + HA
➤ Содержание записки:
---=    GANDCRAB V5.1    =--- 
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****
Attention! 
All your files, documents, photos, databases and other important files are encrypted and have the extension: .AGFQZVOA     
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
| 0. Download Tor browser - https://www.torproject.org/ 
| 1. Install Tor browser 
| 2. Open Tor Browser 
| 3. Open link in TOR browser:   http://gandcrabmfe6mnef.onion/b99ffda26b799fa 
| 4. Follow the instructions on this page 
----------------------------------------------------------------------------------------                    
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. 
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
---BEGIN GANDCRAB KEY---
lAQAABXy1IW/WejlTMMmBLGVolFKhJCFslHAEdCF12Hg6bz6+vAnbw8ZMu9CyXKmINlEGiFUca7tiv46WhQNGqSzkTR99GNNH3GfP1+gk96kNPRQBN5GeBXK3Gx084EXkBfHC8gKLSPeXr32fY6RSL/PmG0LQr7rDJPTbrr081tSYlG2+keAuCdVMu+tReZ8c55Ymc92ms9tcakUgzFeo2ooAFhe9syhIOLKRPDdK9QuqHlLp+62y1ESyHbgC4oNgSNtd5MW3QwXdPdgHPyPeAADs+7JguH0vvYx8qiefCA5D6b***w0lCy7Ro1FTQ=
---END GANDCRAB KEY---
---BEGIN PC DATA---
7ftDEgLb/ZS0lcmZbHM61LLJ1QOTD4IKuw6xbpUgQnYNWIoC9J+YYFdxDmCD9NjJOZDJAu+VseDPRXvIIXQtQx+az7PZzrEScegUavSXjKbYGN4pa0uAIlagk8Qzqmbsh0gcXU9iFMF4iXb/nVLmWqVHbSP2MpT73iZ0O8I3nmaz0PERQ/oUEqXB6tlxstyHGfUNIJN0S4NdA2g0***RNe2IEi3TJCr7rN9c=
---END PC DATA---

Обновление от 26 января 2019:
Пост в Твиттере >>

Обновление от 8 февраля 2019:
Для установки и запуска GandCrab-5 стала использоваться стеганографическая атака. 
Кажется, что пока это нацелено только на Италию. С помощью команды PowerShell с удаленного сайта загружается вредонос, который затем загрузит другой вредонос, GandCrab Ransomware или что-то другое.
Подробное описание на сайте BleepingComputer (in English) >>
Подробное описание на сайте InfoSpyware (in Spanish) >>


Обновление от 14 февраля 2019:
1) Сообщается, что множество ИТ-компаний и поставщиков управляемых услуг были инфицированы и пострадали от GandCrab Ransomware (ссылка). 
2) Ко Дню влюбленных GandCrab Ransomware или его производные вредоносы распространялись в рамках RaaS во вредоносных письмах с темами "This is my love letter to you", "Wrote my thoughts down about you", "My letter just for you", "Felt in love with you"... Тело письма содержало только символ * и поставлялось с вложенным zip-файлом, содержащим файл JavaScript. Имя файла повторялось в каждом вредоносном письме "Love_You_2018_", за которым шли 7-8 случайных цифр (ссылка).


Обновление от 18 февраля 2019:
Bitdefender выпустил дешифровщик для всех 5х версий, которые раньше не были расшифрованы. Это не относится к версии 5.2. 

Обновление от 19-20 февраля:
Пост в Твиттере >>  Пост в Твиттере >>
Пост в Твиттере >>
Версия: 5.2
Шаблон расширения: .<random{5-10}>
Пример расширения: .gstdmcutby
Шаблон записки: <random{5-10}>-DECRYPT.txt
Пример записки: GSTDMCUTBY-DECRYPT.txt
URL: xxxx://www.kakaocorp.link/ (Нидерланды)
Файл EXE: 1.exe
Результаты анализов: VT + VMR + VT + VMR + AR

Обновление от 22 февраля 2019:
Пост в Твиттере >> Результаты анализов: VT + HA + VMR


Обновление от 13 марта 2019:
Новый способ распространения GandCrab-5.2 описан в статье на сайте My Online Security. В спам-рассылках используется поддельное предупреждение о пандемии гриппа CDC (Centre for Disease Control). 


***
Я пропустил (не добавлял) некоторые варианты как неинформативные, но по мере возможности добавлю. 
***

Обновление от 8 апреля 2019:
Топик на форуме >>
Версия: 5.2
Шаблон расширения: .<random{5-10}>
Примеры расширения: .rsdzagwt, .lgeypws
Шаблон записки: <random{5-10}>-MANUAL.txt
Примеры записок: RSDZAGWT-MANUAL.txt, LGEYPWS-MANUAL.txt

Обновление от 22 апреля 2019:
Топик на форуме >>
Версия: 5.2
Шаблон расширения: .<random{5-10}>
Пример расширения: .uqsnorzlpd
Шаблон записки: <random{5-10}>-MANUAL.txt
Пример записки: UQSNORZLPD-MANUAL.txt



Обновление от 1 июня 2019. GandCrab закрылся!
Представитель GandCrab на форуме, где они изначально продвигали свое вредоносное решение среди таких вымогателей, хакеров и прочих представителей кибер-криминала, сообщил о закрытии проекта GandCrab. При этом он заявил, что вместе с закрытием вымогательского проекта GandCrab они намерены удалить все ключи дешифрования, что исключить возможность восстановления файлов на ПК пострадавших. Таким образом они или хотят побудить пострадавших заплатить неуплаченные ранее выкупы, или же в самом деле планируют уничтожить ключи. 
В отличие от них, как известно, разработчики других шифровальщиков (TeslaCrypt, Crysis и пр.) в своё время публиковали оставшиеся ключи в открытый доступ, чтобы жертвы могли восстановить свои данные, пусть и не сами, а с помощью разработчиков дешифровщиков и специалистов антивирусных компаний.
За последний месяц распространения (май 2019) у GandCrab наблюдалось стойкое снижение вредоносной и клиентской активности. Потому его закрытие было предрешено. 

Обновление от 6 июля 2019:
GandCrab RaaR похвастался своим доходом от RaaS и распрощался. 
Пост в Твиттере >>

---
Вымогатели закрыли проект GandCrab Ransomware. 

Со своей стороны я закрываю эту статью. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Можно расшифровать файлы, зашифрованные версиями 1, 4, 5-5,1!
Скачайте дешифровщик от Bitdefender по ссылке >>
 Read to links: 
 Tweet on Twitter + Tweet + myTweet 
 ID Ransomware (ID as GandCrab v4.0 / v5.0)
 Write-up, Topic of Support
 🎥 Video review >>
Added later:
Write-up >> (on October 15, 2018)
Write-up 
 - Видеообор от CyberSecurity GrujaRS 
 Thanks: 
 S!Ri, Michael Gillespie, Karsten Hahn, GrujaRS 
 Andrew Ivanov (article author) 
 Marcelo Rivero, Ben Hunter
 Сервисы: Intezer Analyze, ANY.RUN
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 22 сентября 2018 г.

Nog4yH4n

Nog4yH4n Ransomware
Nog4yH4n Project Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Nog4yH4n Project. На файле написано: hidden-tear.exe. Разработчик: Nog4yH4n (NogayHan) из Турции. 

© Генеалогия: HiddenTear >> Nog4yH4n Project

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Видимо находится в разработке. 

Записка с требованием выкупа называется: HACKED N0G4YH4N.txt

Содержание записки о выкупе:
This computer has been hacked
Your personal files have been ecrypted. Send me BTC or food to get decryption passcode.
After that, you'll be able to see your beloved files again.
With love... Nog4yH4n Project')

Перевод записки на русский язык:
Этот компьютер взломан
Твои личные файлы зашифрованы. Отправь мне BTC или еду, чтобы получить код расшифровки.
После этого ты сможешь снова увидеть свои любимые файлы.
С любовью ... Nog4yH4n Project ')




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HACKED N0G4YH4N.txt
hidden-tear.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxx://vipturkiye.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Qinynore

Qinynore Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в ~0,682 BTC (400 €), чтобы вернуть файлы. Оригинальное название: Qinynore Ransomware. На файле написано: Qinynore Ransomware.exe.

© Генеалогия: HiddenTear >> Qinynore


Изображение, используемое шифровальшиком

К зашифрованным файлам добавляется расширение: .anonymous


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: YOU_MUST_READ_ME.rtf
Содержание записки о выкупе:
Files has been encrypted with Qinynore ransomware, a Russian Hacker organization in association with anonymous.
Send me some bitcoins or say goodbye to your files
Note: DonA't try to be smart, if you are seeing this it means that even if your antivirus detect the virus the files are already encryped.
Even If you canA't see time is still counting, do not forget, 5 hours to pay since you got infected

Перевод записки на русский язык:
Файлы были зашифрованы Qinynore ransomware, российской хакерской организации, связанной с anonymous.
Пришлите мне немного биткоинов или попрощайтесь со своими файлами
Примечание. Не пытайтесь быть умным, если вы видите это, значит, даже если ваш антивирус обнаружит вирус, файлы уже зашифрованы.
Даже если вы не можете видеть, что время все отсчитывается, не забывайте, 5 часов на уплату, т.к. вы инфицированы.

Запиской с требованием выкупа также выступает изображение lol.jpg, заменяющее обои Рабочего стола.


Найдено два разных варианта изображения с одинаковой суммой выкупа. 

Текст с первого скриншота:
NOTE: IF YOU TRY TO SHUTDOWN OR REMOVE THIS MALWARE
FROM YOUR PC YOU WON T BE ABLE TO RECOVER YOUR FILES!!!
WE ARE ANONYMOUS.
WE ARE LEGION.
WE DO NOT FORGET.
WE DO NOT FORGIVE.
EXPECT US.
YOU HAVE 5 HOURS TO PAY 0,68266375 BITCOINS(400€)
TO THIS ADRESS:  940927654672984
OR YOU WON'T GET YOUR FILES BACK

Текст со второго скриншота:
We are Anonymous.
We Are Legion.
We do not forget.
We do not forgive.
Expect us.
You have 48 hours to pay
0.68266375 Bitcoins = 400 € to this adress:
Or you won't get your files back.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.bat, .doc, .docx, .gif, .html, .jpg, .pdf, .txt, .xml, 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
YOU_MUST_READ_ME.rtf  - записка о выкупе
lol.jpg - изображение, заменяющее обои Рабочего стола
Qinynore Ransomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  +VT
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Информация подсказана по этой ссылке >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 🎥 Video review >>
 - видеообзор от CyberSecurity GrujaRS
 Thanks: 
 Karsten Hahn
 Andrew Ivanov
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Giyotin

Giyotin Ransomware 

Guillotine Ransomware

(фейк-шифровальщик)

Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $60 в BTC, чтобы вернуть файлы. Оригинальное название: Giyotin Fidye (по-рус.: Гильотина выкуп, по-англ.: Guillotine Ransomware) и MyRansom. На файле написано: MyRansom.exe. Разработчик: bytar.

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Примерно такое изображение используется в требованиях о выкупе

К незашифрованным файлам никакое расширение не добавляется. Вероятно находится в разработке. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на турецкоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки или изображение, заменяющее обои на Рабочем столе:

Содержание текста о выкупе:
OOPS, GİYOTİN FİDYE YAZILIMININ KURBANI OLDUNUZ
---
Bilgisayarınız ve Tüm Önemli Dosyalarınız Şifrelendi. Dosyalarınızı Geri Alıp Bilgisayarınıza Tamamen Erişim Sağlayabilmek İçin Aşağıdaki Adımları Takip Edin
1-İnternet Üzerinden Herhangi Bir Website veya Server Yardımıyla Bİr Bitcoin Hesabı ve Cüzdanı Oluşturun
2-Bİtcoin Hesabınız Üzerinden Aşağıda Belirtilen Adreslerden Herhangi Birine 60$(Dolar) Değerinde Bitcoin Gönderin
3BsZcdJBLvLks7r5T2CfCEfSUJ3cQxA82
3JuU6UkwcYVGjHqxZnwpC8H3oE87DSSEDN
3-Ödeme İşleminden Sonra anony46NcRyptr708onion@protonmail.ch adresine "HACKED" Metni İçeren Bir Mesaj Bırakın
ANCAK FAZLA ZAMANINIZ YOK 12 SAAT İÇERİSİNDE BU İŞLEMLERİ YAPMADIĞINIZ TAKDİRDE BİLGİSAYARINIZ KALICI OLARAK ÇÖKECEKTİR !!!!

Перевод текста на русский язык:
УПС, ВЫ СТАЛИ ЖЕРТВОЙ ПРОГРАММЫ GIOTINE RANSOMWARE
---
Ваш компьютер и все важные файлы зашифрованы. Выполните следующие действия, чтобы вернуть свои файлы и получить полный доступ к вашему компьютеру.
1 - Создайте учетную запись и биткоин-кошелек с помощью любой веб-справки в Интернете
2 - Отправьте биткоины на сумму 60 долларов на любой из перечисленных ниже адресов
3bszcdjblvlks7r5t2cfcefsuj3cqxa82
3juu6ukwcyvgjhqxznwpc8h3oe87dssedn
3-После оплаты, отправьте письмо с темой "HACKED" на anony46NcRyptr708onion@protonmail.ch
НО ЕСЛИ ВЫ НЕ ЗАПЛАТИТЕ ЗА 12 ЧАСОВ, ЕСЛИ ВЫ НЕ СДЕЛАЕТЕ ЭТИ ДЕЙСТВИЯ, ВАШ ПК ОСТАНЕТСЯ НАВСЕГДА ЗАШИФРОВАН !!!!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ По данным исследователей, этот вымогатель только показывает требования о выкупе и больше ничего не делает.

Список файловых расширений, подвергающихся шифрованию:
Пока файлы не шифруются. 
После доработки это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MyRansom.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: anony46NcRyptr708onion@protonmail.ch
BTC: 3BsZcdJBLvLks7r5T2CfCEfSUJ3cQxA82
3JuU6UkwcYVGjHqxZnwpC8H3oE87DSSEDN
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 17 сентября 2018 г.

IT.Books

IT.Books Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: IT.Books. На файле написано:  IT.Books, IT.Books.exe, IT-eBooks, Free Download IT eBooks.

© Генеалогия: HiddenTear + Jigsaw GUI >> IT.Books

К зашифрованным файлам добавляется расширение: .fucked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ__IT.txt
Содержание записки: 
Files has been encrypted with strong KEY
Send payment to our bitcoin address
you can visit google or localbitcoin to buy bitcoin.
BTC Address: 13vs2K5TiDAn6eLSevnds8esWZfeUhov2d
After payment click contact us you will recieve Decryption KEY in less than 1 hour.

Перевод на русский язык: 
Файлы были зашифрованы с сильным ключом
Отправьте платеж на наш биткоин-адрес
вы можете посетить google или localbitcoin, чтобы купить биткоин.
BTC Адрес: 13vs2K5TiDAn6eLSevnds8esWZfeUhov2d
После оплаты нажмите на ссылку, вы получите ключ расшифровки менее чем за 1 час.

Запиской с требованием выкупа также выступает экран блокировки, стиль которого заимствован у Jigsaw Ransomware

Содержание текста с экрана о выкупе:
I want to play a game with you. Let me explain the rules:
Your personal files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access them.
***

Перевод текста на русский язык:
Я хочу сыграть с тобой. Позволь объяснить правила:
Твои личные файлы удаляются. Твои фото, видео, документы и т.д.
Но, не волнуйся! Это будет, если ты не согласишься.
Я уже зашифровал твои личные файлы, ты не получишь к ним доступ.
***

Также есть заменяются обои Рабочего стола, поверх которых и встаёт экран блокировки.

Содержание текста с обоев:
YOUR COMPUTER HAS BEEN LOCKED!
Your documents, photos, databases and other important files have been locked with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt ypur files until you pay and obtain the private key.
Follow the instruction to get the Decryption key!

Перевод на русский язык: 
ВАШ КОМПЬЮТЕР ЗАБЛОКИРОВАН!
Ваши документы, фото, базы данных и другие важные файлы блокированы с самым сильным шифрованием и уникальным ключом, созданным для этого компьютера. Частный ключ дешифрования хранится на секретном интернет-сервере, и никто не может расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
Следуйте инструкциям, чтобы получить ключ дешифрования!




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Используется следующая иконка для исполняемого файла вымогателя:


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ__IT.txt
IT.Books.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 13vs2K5TiDAn6eLSevnds8esWZfeUhov2d
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 🎥 Video review >>
 - Видеообзор от Cyber Security GrujaRS
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *