Если вы не видите здесь изображений, то используйте VPN.

понедельник, 5 ноября 2018 г.

DCRTR-WDM

WDM Ransomware

DCRTR-WDM Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $1270 в BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано (фальш-имя): Windows Defender Monitor и wdm.exe. Фальш-копирайт: © Microsoft Corporation. All rights reserved. Название проекта: FileCryptor.

Обнаружения: 
DrWeb -> Trojan.Encoder.26981, Trojan.Encoder.27259, Trojan.Encoder.26657
BitDefender -> Dropped:Trojan.GenericKD.31713214, Gen:Variant.Ursu.429516
Malwarebytes -> Ransom.DCRTR
Symantec -> Trojan.Gen.MBT
ALYac -> Trojan.Ransom.Dcrtr

© Генеалогия: DCRTR + различные заимствования >> DCRTR-WDM ⇒ переход на другую разработку. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .crypt
Файлы не переименовываются. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом, а также заимствования у других вымогателей (стиль и текст записок, форматы ID и прочие элементы), призванные хотя бы на время запутать определение Ransomware. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

DCRTR-WDM Ransomware

Содержание записки о выкупе:
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE WILL BE DECRYPTION ERRORS*****
Attention! 
All your files, documents, photos, databases and other important files are encrypted and have the extension: .CRYPT
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
----------------------------------------------------------------------------------------
| 0. Download Tor browser - https://www.torproject.org/ 
| 1. Install Tor browser 
| 2. Open Tor Browser 
| 3. Open link in TOR browser:  http://crypt443sgtkyz4l.onion/942a6d15e7378b***       
| 4. Follow the instructions on this page 
----------------------------------------------------------------------------------------   On our page you will see the payment instructions and will be able to decrypt 1 file for free with the extension ".exe".
Attention!
TO PREVENT DATA CORRUPTION:
- do not modify files with extension.crypt
- do not run anti-virus programs, they may remove information to contact us
- do not download third-party file descriptors, only we can decrypt files!

Перевод записки на русский язык:
*********************** НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ, ПОКА ВСЕ ВАШИ ДАННЫЕ НЕ БУДУТ ВОССТАНОВЛЕНЫ ************ ***********
***** НЕСОБЛЮДЕНИЕ ЭТОГО ТРЕБОВАНИЯ ПРИВЕДЕТ К ПОВРЕЖДЕНИЮ СИСТЕМЫ, ЕСЛИ БУДУТ ОШИБКИ В РАСШИФРОВКЕ *****
Внимание!
Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .CRYPT
Единственный способ восстановления файлов - купить уникальный закрытый ключ. Только мы можем дать вам этот ключ, и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытой сети TOR. Вы можете добраться туда следующими способами:
-------------------------------------------------- --------------------------------------
| 0. Загрузите Tor-браузер - https://www.torproject.org/
| 1. Установите Tor-браузер
| 2. Откройте Tor-браузер 
| 3. Откройте ссылку в Tor-браузере: http://crypt443sgtkyz4l.onion/942a6d15e7378b4b5368b***
| 4. Следуйте инструкциям на этой странице
-------------------------------------------------- -------------------------------------- На нашей странице вы увидите инструкции по оплате и сможете дешифровать бесплатно 1 файл с расширением ".exe".
Внимание!
ДЛЯ ПРЕДОТВРАЩЕНИЯ ПОВРЕЖДЕНИЯ ДАННЫХ:
- не изменяйте файлы с расширением .crypt
- не запускайте антивирусные программы, они могут удалить информацию для связи с нами
- не загружайте сторонние дескрипторы файлов, только мы можем расшифровать файлы!


Отказавшись от email в записке, вымогатели теперь используют не только текст записки о выкупе, но и сайт оплаты с дизайном, как у вымогателей проекта GandCrab-Ransomware. Скриншоты сайты представлены ниже. 

DCRTR-WDM Ransomware site сайт шифровальщика-вымогателя


Содержание страниц сайта оплаты (постранично):
We are sorry, but your files have been encrypted!
Don't worry, we can help you to return all of your files!
Files decryptor's price is 1270 USD
Every day the price increases by $ 50 !
    What the matter? Buy Decryptor Support Test Decrypt
Buy cryptocurrency Bitcoin. Here you can find services where you can do it.
    Send 0.19725398 BTC to the address: 1D41x7GnXpN7jXhdZ7hfZXKsQzyGRNmkfg
    Attention!
    Please be careful and check the address visually after copy-pasting (because there is a probability of a malware on your PC that monitors and changes the address in your clipboard)
    If you don't use TOR Browser:
    Send a verification payment for a small amount, and then, make sure that the coins are coming, then send the rest of the amount.
    We won't take any responsibility if your funds don't reach us
    The transaction will be confirmed after it receives 3 confirmations (usually it takes about 10 minutes)
Transactions list
TX  Amount  Status
Total  0BTC  unpaid
--------------------------------
We are sorry, but your files have been encrypted!
Don't worry, we can help you to return all of your files!
Files decryptor's price is 1270 USD
Every day the price increases by $ 50 !
    What the matter? Buy Decryptor Support Test Decrypt
What the matter?
Your computer has been infected with Ransomware. Your files have been encrypted and you can't decrypt it by yourself.
In the network, you can probably find and third-party software, but it won't help you, it only can make your files undecryptable
What can I do to get my files back?
You should buy Decryptor. This software will help you to decrypt all of your encrypted files and remove Ransomware from your PC.
Current price: 1270 USD. As payment, you need cryptocurrency Bitcoin
What is cryptocurrency and how can I purchase Decryptor?
You can read more details about cryptocurrency at Google or here.
As payment, you have to buy Bitcoin using a credit card, and send coins to our address.
How can I pay to you?
You have to buy Bitcoin using a credit card. Links to services where you can do it: Bitcoin exchanges list
After it, go to our payment page Buy Decryptor, choose your payment method and follow the instructions
--------------------------------
We are sorry, but your files have been encrypted!
Don't worry, we can help you to return all of your files!
Files decryptor's price is 1270 USD
Every day the price increases by $ 50 !
    What the matter? Buy Decryptor Support Test Decrypt
If you have any problems with the purchase - please contact support.
You Support
{{ message.message }}
{{ message.created_at }}
Send message
--------------------------------
We are sorry, but your files have been encrypted!
Don't worry, we can help you to return all of your files!
Files decryptor's price is 1270 USD
Every day the price increases by $ 50 !
   What the matter? Buy Decryptor Support Test Decrypt
Chose file ( .exe )
Decrypt



Технические детали

Распространяется под видом обновления для Windows Defender. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ При установке WDM завершает ряд процессов:

IM sql
mystjld.exe
scfwriter.exe
scfserver.exe
sqlservr.exe
SQLyog.exe
httpd.exe
ApacheMonitor.exe
mysqld-nt.exe
sqlceip.exe
sqlbrowser.exe
FileZillaServer.exe
chrome.exe
ie.exe
firefox.exe
opera.exe
safari.exe
taskmgr.exe
1c
excel.exe
mspub.exe
winword.exe
powerpnt.exe
notepad.exe
Microsoft.Exchange.*
MSExchange*
vssadmin.exe delete shadows /all /quiet
wmic shadowcopy delete

➤ После установки WDM и завершения вышеназванных процессов завершает работу системы. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
wdm.exe (setup.exe) или другие названия
<random>.exe - случайное название
FileCryptor.pdb - название проекта
install.bat и другие вспомогательные файлы

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\AppData\Roaming\Windows Defender\wdm.exe
C:\Users\malay\Downloads\Telegram Desktop\FileCryptor (2)\FileCryptor\Release\FileCryptor.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс: 
WindowsDefenderMonitorMutex

Сетевые подключения и связи:
xxxx://crypt443sgtkyz4l.onion/***  
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
🐞 Intezer анализ на файл libcrypto-1_1.dll >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


DCRTR Ransomware - февраль 2018
DCRTR-WDM Ransomware - ноябрь 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 13 ноября 2018:
Пост на форуме >>
Записки: info.hta и HOW TO DECRYPT FILES.TXT
Email: dekode@qq.com
Содержание теперь заимствовано у Rapid Ransomware.
Файл Info.hta заимствован у Dharma Ransomware. 


➤ Содержание записки HOW TO DECRYPT FILES.TXT
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - dekode@qq.com
and tell us your unique ID - ID-XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX {32}

Обновление от 19 января 2019:
Сообщение >>
Самоназвание: FileCryptor_V1.2
Файл проекта: FileCryptor.pdb
Расширение: .crypt
Email: BTCBREWERY@protonmail.com, btcbrewery@india.com
Мьютекс: WindowsDefenderMonitorMutex
Записки: HOW TO DECRYPT FILES.txt и info.hta

➤ Содержание записки HOW TO DECRYPT FILES.txt
Hello, dear friend!
All your files have been encrypted
do you really want to restore your files?
write to our email - BTCBREWERY@protonmail.com
btcbrewery@india.com
***
Результаты анализов: VT

Обновление от 20 февраля 2019:
Сообщение >>
Расширение: .crypt
Записки: info.hta и HOW TO DECRYPT FILES.txt
Email: decodebuy@qq.com
Мьютекс: oleacc-msaa-loaded
Результаты анализов: VT + VMR


➤ Содержание записки 
HOW TO DECRYPT FILES.txt
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - decodebuy@qq.com
and tell us your unique ID - ID-201180745exxxxxxxxxxxfxxxxxxxxxx
---
➤ Содержание записки info.hta
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail decodebuy@qq.com
Write this ID in the title of your message 201180745exxxxxxxxxxxfxxxxxxxxxx
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
 Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
•Do not rename encrypted files.
•Do not try to decrypt your data using third party software, it may cause permanent data loss.
•Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Обновление от 18 марта 2019:
Расширение: .SONG
Записки: info.hta и HOW TO DECRYPT FILES.txt
Email: rogons@foxmail.com



Обновление от 10 апреля 2019:
Топик на форуме >>
Расширение .PAFOS
Записки: HOW TO DECRYPT FILES.txt
Email: goodymans@qq.com

➤ Содержание записки HOW TO DECRYPT FILES.txt
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - goodymans@qq.com
and tell us your unique ID - ID-49be49395d872068abc543xxxxxxxxxxx

Обновление от 22 апреля 2019:
Топик на форуме >>
Расширение: .COLORIT
Email: goodbrov@qq.com
Записки: HOW TO DECRYPT FILES.hta
HOW TO DECRYPT FILES.txt

➤ Содержание записки HOW TO DECRYPT FILES.hta
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail goodbrov@qq.com
Write this ID in the title of your message 6f34b033fce61c65a909e1xxxxxxxxxx
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
 Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
•Do not rename encrypted files.
•Do not try to decrypt your data using third party software, it may cause permanent data loss.
•Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
---

➤ Содержание записки HOW TO DECRYPT FILES.txt
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - goodbrov@qq.com
and tell us your unique ID - ID-6f34b033fce61c65a909e1xxxxxxxxxx {32}
Результаты анализов: VT + IA

Обновление от 30 апреля 2019:
Пост на форуме >>
Расширение: .COLORIT
Email: borov@foxmail.com
Записки: HOW TO DECRYPT FILES.hta
HOW TO DECRYPT FILES.txt
➤ Скриншоты записки HOW TO DECRYPT FILES.hta, открытой в браузерах IE и Chtome как htm-файл. 

➤ Содержание записки HOW TO DECRYPT FILES.hta
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail borov@foxmail.com
Write this ID in the title of your message 8fc7b76cc9f504bd9b847aba6d249bef
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

➤ Содержание записки HOW TO DECRYPT FILES.txt
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - borov@foxmail.com
and tell us your unique ID - ID-8fc7b76cc9f504bd9b847aba6d249bef


Обновление от 18 июня 2019:
Сообщение >>
Топик на форуме >>
Статус: Дешифровка пока невозможна. 
Расширение: .COPAN
Записки: HOW TO DECRYPT FILES.txt
HOW TO DECRYPT FILES.hta
Email: acva@foxmail.com
➤ Содержание TXT-записки: 
Hello, dear friend.
All your files are encrypted with a unique key.
Are you sure you want to recover all your files ?
Write us an email: acva@foxmail.com
Enter your unique ID in the message: 11e015fXXX
➤ Содержание HTA-записки: 
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail acva@foxmail.com
Write this ID in the title of your message 19afc8ce83
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Обновление от 24 июня 2019:
Сообщение >>
Статус: Дешифровка пока невозможна. 
Расширение: .WALAN
Email: racap@qq.com
Записка: DECRYPT_INFO.txt
➤ Содержание TXT-записки: 
Hello, dear friend.
All your files are encrypted with a unique key.
Are you sure you want to recover all your files ?
Write us an email: racap@qq.com
Enter your unique ID in the message: XXXXXXXXXX

Обновление от 30 июня 2019:
Сообщение >>
Топик на форуме >>
Топик на форуме >>
Статус: Дешифровка пока невозможна. 
Расширение: .CAGO
Записки: DECRYPT_INFO.txt
DECRYPT_INFO.hta
Email: popstop@foxmail.com


➤ Содержание TXT-записки: 
Hello, dear friend.
All your files are encrypted with a unique key.
Are you sure you want to recover all your files ?
Write us an email: popstop@foxmail.com
Enter your unique ID in the message: 93041xxxxx
---
➤ Содержание HTA-записки: 
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail popstop@foxmail.com
Write this ID in the title of your message 3e71exxxxx
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
---
Вспомогательный файл: install.bat
Файл EXE: dllhost.exe (wpm.exe)
Результаты анализов: VT + HA + IA + AR
---
➤ Контакт с доменами:
1.240.168.192.in-addr.arpa
10.240.168.192.in-addr.arpa
11.240.168.192.in-addr.arpa
12.240.168.192.in-addr.arpa
13.240.168.192.in-addr.arpa
14.240.168.192.in-addr.arpa
2.240.168.192.in-addr.arpa
210.240.168.192.in-addr.arpa
213.240.168.192.in-addr.arpa
25.240.168.192.in-addr.arpa
3.240.168.192.in-addr.arpa
32.240.168.192.in-addr.arpa
36.240.168.192.in-addr.arpa
39.240.168.192.in-addr.arpa
4.240.168.192.in-addr.arpa
5.240.168.192.in-addr.arpa
6.240.168.192.in-addr.arpa
9.240.168.192.in-addr.arpa

Обновление от 18 августа 2019:
Пост на форуме >>
Пост на форуме >>
Статус: Дешифровка пока невозможна. 
Расширение: .STAFS
Записки: HOW TO DECRYPT FILES.hta
HOW TO DECRYPT FILES.txt
Email: porasa@qq.com
Файлы EXE: Defendr.exe, smss.exe
Результаты анализов: VT + HA + AR / VT

➤ Содержание txt-записки: 
Good day.
All your documents, databases, photos, videos and staff were encrypted with a unique key.
If you want to return all your files, so write to us by mail: porasa@qq.com
In the message attach your unique ID: bfa24466b2
Do not waste your time! You risk losing all your files!
---

➤ Содержание hta-записки: 
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail porasa@qq.com
Write this ID in the title of your message bfa24466b2
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 file for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
---
➤ Контакт с доменами:
1.240.168.192.in-addr.arpa
10.240.168.192.in-addr.arpa
11.240.168.192.in-addr.arpa
12.240.168.192.in-addr.arpa
13.240.168.192.in-addr.arpa
14.240.168.192.in-addr.arpa
2.240.168.192.in-addr.arpa
206.240.168.192.in-addr.arpa
220.240.168.192.in-addr.arpa
221.240.168.192.in-addr.arpa
232.240.168.192.in-addr.arpa
24.240.168.192.in-addr.arpa
248.240.168.192.in-addr.arpa
3.240.168.192.in-addr.arpa
32.240.168.192.in-addr.arpa
4.240.168.192.in-addr.arpa
5.240.168.192.in-addr.arpa
6.240.168.192.in-addr.arpa
9.240.168.192.in-addr.arpa


Обновление от 1 сентября 2019:
Топик на форуме >>
Статус: Дешифровка пока невозможна. 
Расширение: .SOS или .sos
Записки: HOW TO DECRYPT FILES.hta
HOW TO DECRYPT FILES.txt
Email: corova@qq.com

➤ Содержание txt-записки: 
Good day.
All your documents, databases, photos, videos and staff were encrypted with a unique key.
If you want to return all your files, so write to us by mail: corova@qq.com
In the message attach your unique ID: bf672589f8
Do not waste your time! You risk losing all your files!
---



Обновление от 24 сентября 2019: 
Топик на форуме >>
Статус: Дешифровка пока невозможна. 
Расширение: .GOLD
Email: sospa@foxmail.com
Записки: HOW TO DECRYPT FILES.txt
HOW TO DECRYPT FILES.HTA
➤ Содержание txt-записки: 
Good day.
All your documents, databases, photos, videos and staff were encrypted with a unique key.
If you want to return all your files, so write to us by mail: sospa@foxmail.com
In the message attach your unique ID: c0f7262b2a
Do not waste your time! You risk losing all your files!


Обновление от 8 октября 2019:
Топик на форуме >>
Расширение: .LOCK
Записки: HOW TO DECRYPT FILES.hta
HOW TO DECRYPT FILES.txt
Email: raceso@qq.com
Файл EXE: smms.exe
Результаты анализов: VT + AR + IA

➤ Содержание txt-записки: 
Good day.
All your documents, databases, photos, videos and staff were encrypted with a unique key.
If you want to return all your files, so write to us by mail: raceso@qq.com
In the message attach your unique ID: 3e71ec40bc
Do not waste your time! You risk losing all your files!


Обновление от 14 октября 2019:
Сообщение >>
Расширение: .CRYZP
Записки: HOW TO DECRYPT FILES.hta
HOW TO DECRYPT FILES.txt
Email: sosca@foxmail.com



Обновление от 6 ноября 2019:
Топик на форуме >>
Расширение: .LOCKEDS
Записки: HOW TO DECRYPT FILES.hta
HOW TO DECRYPT FILES.txt
Email: popca@qq.com



Обновление от 31 января 2020: 
Расширение: .ngecqlu
Записки: HOW TO DECRYPT FILES.hta
HOW TO DECRYPT FILES.txt
Email: costama@qq.com



Мое замечание от 20 декабря 2020:
По всей видимости вымогатели перешли в другие проекты и эта программа-вымогатель в прежнем виде не распространяется. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

В некоторых случаях файлы можно дешифровать!
Составьте запрос в Dr.Web на пробную дешифровку: 
- на русском языке
- на английском языке
Если дешифровка возможна, то вам сообщат подробности. 
➽ Или напишите Emmanuel_ADC-Soft на форум или в Твиттер. 
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as DCRTR)
 Write-up, Topic of Support
 * 
 Thanks: 
 Emmanuel_ADC-Soft, Michael Gillespie, quietman7
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 3 ноября 2018 г.

M@r1a

M@r1a Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим ECB), ключ шифрует с помощью RSA-2048, а затем требует выкуп в $50 или 0.002 BTC, чтобы вернуть файлы. Оригинальное название: M@r1a. На файле написано: ransom.exe и SF.exe

© Генеалогия: Общий крипто-строитель SF Ransomware >> SpartacusSatyrBlackRouter, BlackHeartM@r1a

К зашифрованным файлам добавляется расширение: .mariacbc


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadME-M@r1a.txt

Содержание записки о выкупе:
Personal Key
[On5niFpsfas ***]
*****

Перевод записки на русский язык:
Персональный ключ
[On5niFpsfas ***]
*****

Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста на экране:
Personal Key
[On5niFpsfas ***]
Warning: Please Don't Restart or Shutdown Your PC ,
If do it Your Pesonal Files Permanently Crypted.
For Decrypt Your Personal Just Pay 50$ or 0.002 BTC . After Pay You Can send personal key to
Telegram: @MAF420 or Email: farhani.ma98@gmail.com
BTC Transfer Address: 1EME4Y8zHLGQbzjs9YZ5fnbaSLt4ggkRso

Перевод текста на русский язык:
Персональный ключ
[On5niFpsfas ***]
Предупреждение: не перезагружайте и не выключайте ваш ПК,
Если это, то ваши личные файлы навсегда будут зашифрованы.
Для расшифровки вашей личной просто заплатите 50$ или 0.002 BTC. После оплаты вы можете отправить персональный ключ на 
Telegram: @MAF420 или email: farhani.ma98@gmail.com
BTC-адрес передачи: 1EME4Y8zHLGQbzjs9YZ5fnbaSLt4ggkRso



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов командой:
cmd.exe /c vssadmin.exe delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadME-M@r1a.txt
ransom.exe (SF.exe)
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @MAF420
Email: farhani.ma98@gmail.com
BTC: 1EME4Y8zHLGQbzjs9YZ5fnbaSLt4ggkRso
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Общий крипто-строитель SF Ransomware - апрель 2018
Spartacus Ransomware - 15 апреля 2018
BlackRouter Ransomware  - 15 апреля 2018
Satyr Ransomware  - 18 апреля 2018
BlackHeart Ransomware - 21 апреля 2018
M@r1a Ransomware - 3 ноября 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Spartacus)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FileFuck

FileFuck Ransomware

(фейк-шифровальщик, стиратель, деструктор)
Translation into English


Этот крипто-вымогатель перезаписывает файлы на рабочем столе фразой "All your files were fucked forever by FileFuck! You can not stop us, you idiot :)"

Не предлагает никаких действий, чтобы вернуть файлы. Оригинальное название: FileFuck. На файле написано: FileFuck.exe

© Генеалогия: HiddenTear >> FileFuck

Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных и разноязычных пользователей, что не мешает распространять его по всему миру.

Записка от злоумышленников называется: @READ_IT@.txt

Записка от злоумышленников выступает также экран блокировки. 

Содержание текста:
FileFuck warning
All your files were fucked forever by FileFuck!
***
Все ваши файлы трахались навсегда FileFuck!
***
you not have to look at the
monitor so seriously,
my friend. XD

Перевод на русский язык:
Предупреждение FileFuck
Все ваши файлы трахались навсегда FileFuck!
***
Все ваши файлы трахались навсегда FileFuck!
***
вам не нужно смотреть на монитор так серьезно,
мой друг. XD



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Уплата выкупа, даже если 
в новых версиях появятся условия выкупа, бесполезна! 

Список файловых расширений, подвергающихся перезаписи и повреждению:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FileFuck.exe
@READ_IT@.txt
ipaWaVDQGX.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\@READ_IT@.txt
\Desktop\ipaWaVDQGX.exe
\Desktop\BQJUWOYRTO.jpg
\Desktop\BUFZSQPCOH.mp3
\Desktop\DQOFHVHTMG.png
\Desktop\HQJBRDYKDE.docx
\Desktop\HQJBRDYKDE.xlsx

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 2 ноября 2018 г.

MCrypt2018

MCrypt2018 Ransomware 

CRP.Net3 Ransomware 

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные на дисках пользователей с помощью утилиты DiskCryptor, а затем требует написать на email, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: CRPDOTNET3 или что попало.

© Генеалогия: предшественники HDDCryptor, Bad Rabbit, MBR-ONI >> MCrypt2018

К зашифрованным файлам добавляется расширение: нет данных, т.к. шифрует весь диск, используя утилиту DiskCryptor.

Внимание! Новые данные, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец октября - начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа выводится перед жертвой на чёрном экране после перезагрузки ПК. Перезагрузка осуществляется сразу после шифрования для завершающего этапа. 

Содержание записки о выкупе:
You have been Hacked, ALL Data Encrypted,Contact For Key
Our Email : mcrypt2018@yandex.com
YourID: [executable name]
Your Hostname: [computer name]
Enter Key :

Перевод записки на русский язык:
Вы взломаны, все данные зашифрованы, контакт для ключа
Наш email: mcrypt2018@yandex.com
Ваш ID: [имя исполняемого файла]
Ваш хост: [имя компьютера]
Введите ключ :



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует легитимную утилиту DiskCryptor для осуществления шифрования. Для выполнения вредоносного файла нужен ручной запуск файла, или он вызывается на выполнение скриптом, который попадает на ПК жертвы обманным путем. В таком случае вредоносу нужно передать аргумент, который используется как пароль для DiskCryptor. Также возможен взлом службы удаленных рабочих столов и ручной запуск MCrypt2018 Ransomware на установку. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
dcrypt.exe
dcrypt.sys
myLog.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Public\myLog.txt

Файлы, связанные с этим Ransomware:
%SystemDrive%/Public/dcapi.dll
%SystemDrive%/Public/dccon.exe
%SystemDrive%/Public/dcinst.exe
%SystemDrive%/Public/dcrypt.exe
%SystemDrive%/Public/dcrypt.sys
%SystemDrive%/Public/mount.exe
%SystemDrive%/Public/netpass.exe
%SystemDrive%/Public/netpass.txt
%SystemDrive%/Public/log_file.txt
%SystemDrive%/Public/netuse.txt

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DefragmentService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\config
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Instances
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Instances\dcrypt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Enum

Сетевые подключения и связи:
mcrypt2018@yandex.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as MCrypt2018)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Lawrence Abrams
 Michael Gillespie, Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *