Если вы не видите здесь изображений, то используйте VPN.

пятница, 4 января 2019 г.

BooM

BooM Ransomware

Variants: Boom, Epsilon, Revenge

BooM NextGen Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BooM RansomewareНа файле написано: BooM Ransomeware.exe. Разработчик: Mohamed Naser Ahmed. Вымогатель сам сообщил свои данные в социальной сети Facebook для связи. На момент написания статьи его страница уже заблокирована. Позже появились новые варианты, в том числе и заметно переделанные. 
---
Обнаружения: 
DrWeb -> Trojan.Encoder.94, Trojan.Encoder.33426
ALYac -> Trojan.Ransom.Xorist
Avira (no cloud) -> TR/Ransom.Xorist.EJ
BitDefender -> Gen:Variant.Ransom.Boom.1, Trojan.Ransom.AIG
ESET-NOD32 -> A Variant Of MSIL/Kryptik.OLL, A Variant Of Win32/Filecoder.Q
Kaspersky -> Trojan-Ransom.Win32.Xorist.ln
Malwarebytes -> Malware.AI.2631900683, Ransom.Xorist
Microsoft -> Ransom:Win32/Sorikrypt
Qihoo-360 -> Win32/Ransom.Xorist.HgIASOcA
Rising -> Ransom.Sorikrypt!8.8822 (CLOUD)
Tencent -> Win32.Trojan.Raas.Auto, Win32.Trojan.Xorist.Wptd, Trojan.Win32.CryptoTorLocker2015.a
TrendMicro -> Ransom_Sorikrypt.R002C0DAQ21, Ransom_XORIST.SMA
---

© Генеалогия: Xorist >> BooM > 
BooM + HiddenTear ⇒ EpsilonCrypt
© Генеалогия: Xorist >> BooM > BooM + другой код > Revenge

Знак "
⇒" означает переход на другую разработку. См. Генеалогия

К зашифрованным файлам добавляется расширение: .Boom

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале января 2019 г. Штамп времени создания: 23 декабря 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt


Содержание записки о выкупе:
How to decrypt files
Get your pin
Put it in the virus
In order to extract the password to decrypt the files
In a folder on your desktop
Then put it in a password in the small window that will show you
For pin
Talk to me on Facebook
My name = Mohamed Naser Ahmed
my ID = 100027091457754


Перевод записки на русский язык:
Как расшифровать файлы
Получи свой пин
Поместите это в вирус
Чтобы извлечь пароль для расшифровки файлов
В папке на рабочем столе
Затем введите пароль в маленьком окне, которое покажет вам
Для pin
Поговори со мной на Facebook
Меня зовут Мохамед Насер Ахмед
мой ID = 100027091457754



Запиской с требованием выкупа также выступает экран блокировки (или HTA-файл) и изображение, встающее обоями Рабочего стола.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется рарешение на запуск. 

Информация для расшифровки: 
PIN: 47848486454474431000546876341354
Password: M95r2jRwkP87rnWt1p281X1u




  

На момент написания статьи страница разработчика BooM Ransomware в социальной сети Facebook уже 
была заблокирована.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
BooM Ransomeware.exe
b00m.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CLASSES_ROOT\.Boom
HKEY_CLASSES_ROOT\SSTWIPNUVDUSGRM
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT> VT>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

BooM Ransomware - январь 2019
Epsilon Ransomware - январь 2021


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 5 января 2019:
Пост в Твиттере >>
Текстовая записка,
 некий экран блокировки или HTA-файл.
PIN: 34584384186746875497
Password: B3ht4w316MsyQS47Sx18SA4q

➤ Содержание текста: 
Oooooops All your files have been encrypted
And to encode the files, enter the password
to get a password
Search in Facebook
My name = Mohamed Naser Ahmed
my ID = 100027091457754

 
Результаты анализов: VT + HA


=== 2021 ===

Вариант от 15 января 2021:
Сообщение >>
Смотрите отдельную статью Epsilon Ransomware >>
Самоназвание: Epsilon Ransomware
Расширение: .[neftet@tutanota.com].boom
Email: neftet@tutanota.com
Записка: READ_ME.hta

Файл: B221.exe
Результаты анализов: VT + IA + VMR
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.HiddenTear.1
Avira (no cloud) -> HEUR/AGEN.1129970
BitDefender -> Generic.Ransom.Small.E850116C
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Malwarebytes -> Ransom.Crimson
Microsoft -> Trojan:Win32/Ymacco.AA44
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> TROJ_GEN.R002C0OAF21


Вариант от 26 января 2021:
Самоназвание: Revenge Ransomeware.
Заметно отличается от ранних вариантов. 
Распространяется в Китае. 
Расширение: .REVENGE
Записка: ReadToRestore.txt


Файл: Ransomeware.exe
Файл проекта: C:\Users\Chien\Desktop\Revenge-Ransomeware-master\Ransomeware\obj\Debug\Ransomeware.pdb
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33426
Avira (no cloud) -> TR/FileCoder.slajl
BitDefender -> Gen:Heur.Ransom.MSIL.1
ESET-NOD32 -> A Variant Of Generik.DGTJBAN
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.Agent
Microsoft -> Ransom:MSIL/Revenge.DA!MTB
Qihoo-360 -> Win32/Backdoor.Revenge.HgIASO4A
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Tencent -> Msil.Trojan.Encoder.Hryn
TrendMicro -> Ransom_Encoder.R002C0PAT21




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! 
Ранние варианты можно было расшифровать. 
По более поздним подтверждение не получено. 
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie, Petrovic
 Andrew Ivanov
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 3 января 2019 г.

RetMyData

RetMyData Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем вероятно требует выкуп, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: RansomCrypren.exe

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: 
.aes256
или 
.aes256.testE

Фактически используется составное расширение: .recovery_email_[retmydata@protonmail.com]_ID_[FCFABBBE].aes256
или
.recovery_email_[retmydata@protonmail.com]_ID_[FCFABBBE].aes256.testE

Примеры зашифрованных файлов:
BD14868_.GIF.recovery_email__retmydata@protonmail.com__ID__FCFABBBE_.aes256.testE
FINCL_02.MID.recovery_email__retmydata@protonmail.com__ID__FCFABBBE_.aes256.testE
J0106222.WMF.recovery_email__retmydata@protonmail.com__ID__FCFABBBE_.aes256.testE

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: нет данных

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RansomCrypren.exe 
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as RetMyData)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryCipher

CryCipher Ransomware

PayPalGenerator2019 Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 

Обнаружения: 
DrWeb -> Trojan.Encoder.26978
BitDefender -> Trojan.GenericKD.40896401, Trojan.GenericKD.31607356, Generic.Ransom.PWS.Locker
ESET-NOD32 -> A Variant Of PowerShell/Filecoder.P

© Генеалогия: CryCipher > более новые варианты

Этимология названия:
Я совместил названия двух файлов этого вымогателя Cipher.psm1 и cry.ps1
 и получилось CryCipher. Cipher.psm1 + cry.ps1 = CryCipher

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

На момент написания статьи ничего неизвестно о его массовом распространении. Это может быть тестовый образец будущего Ransomware. Но адрес мог быть написан и с ошибкой, потому уплата выкупа на данный момент бесполезна. 

Записка с требованием выкупа называется: Readme_now.txt


Содержание записки о выкупе:
Your personal files have been encrypted, send an email to email@protonmail.com to recover them. Your ID: d7b9-068a-8e17

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы, отправьте email на email@protonmail.com, чтобы восстановить их. Ваш ID: d7b9-068a-8e17



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Для атаки использует системный Windows PowerShell, разработка компании Microsoft, от которой больше вреда, чем пользы. 

Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .doc, .gif, .jpg, .mp3, .mp4, .pdf, .png, .ppt, .txt, .wav, .xls, 
Это документы MS Office, PDF, текстовые файлы, фотографии, картинки, музыка, видео.

Файлы, связанные с этим Ransomware:
Readme_now.txt
powershell.pdb
something.exe
SEO.exe
Cipher.psm1
cry.ps1
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\Readme_now.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: email@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 7 февраля 2019:
Пост в Твиттере >>
Расширение: .locked
Записка: Readme_now.txt
Email: pay.ransom@protonmail.com
В ID Ransomware это теперь представлено под именем PayPalGenerator2019.
Файлы: Cipher.psm1 и cry.ps1


Файл EXE: PayPal-Generator-2019.exe

Штамп времени: 30 января 2019. 
UAC не обходит. Требуется разрешение на запуск.
Результаты анализов: VT + VMR

Обновление от 17 июня 2019:
Пост в Твиттере >>
Расширение: .locked
Записка: Readme_now.txt
Email: servicep073@gmail.com
Файл EXE: IRS_Doc.exe
Результаты анализов: VT



=== 2022 ===

Вариант от 20 июля 2022: 
Расширение: .69
Доп. название: Cipher69 Ransomware
Записка: Readme_now.txt
Email: demo386@onion.com
Список расширений: .3gp, .7z, .avi, .bmp, .doc, .docx, .gif, .iso, .jpeg, .jpg, .mp3, .mp3, .mp4, .mp4, .msi, .pdf, .png, .png, .ppt, .pptx, .py, .rar, .sh, .txt, .wav, .xls, .xlsx, .zip
---
Файлы: Cipher.psm1, payload.exe
Результаты анализов: VT + AR + IA
Обнаружения: 
DrWeb -> PowerShell.Encoder.21
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of PowerShell/Filecoder.Q
Rising -> Ransom.Agent/PS!8.113B7 (CLOUD)
TrendMicro -> Ransom.Win32.SYRK.SM




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as PayPalGenerator2019)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, GrujaRS, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Vulston

Vulston Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.18 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .vulston


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известно о пострадавших из Бразилии. 

Записка с требованием выкупа называется: mensagem.txt

Содержание записки о выкупе:
At this moment your files are encrypted
and they can not be decrypted without the key's that are set for your computer.
To receive the decryption keys you have pay 0.18 BITCOIN

You can get bitcoin very easy on this site: www.localbitcoins.com
You have to create an account and to buy 0.18 BITCOIN from a seller located in your city.
Then you have to send the amount at this BTC adress: 1L4da3SCbo9w3Y1F3HoVxjyn7yTTXcWhUw
After that, contact me at this email adress: vuleston@gmx.com
With this subject: KEYS FOR ID 12345678mensagem.
After the payment you will receive the key's to decrypt your files and a tutorial
The key's that are older than 3 days will be automaticaly deleted.
If you don't want to lose your files, please contact me in this 3 days.

Перевод записки на русский язык:
На данный момент ваши файлы зашифрованы
и они не могут быть расшифрованы без ключей, которые настроены для вашего компьютера.
Для получения ключей расшифровки вам нужно заплатить 0,18 БИТКОИНА
Вы можете легко получить биткоины на этом сайте: www.localbitcoins.com
Вы должны создать учетную запись и купить 0,18 BITCOIN у продавца, расположенного в вашем городе.
Затем вы должны отправить сумму на этот BTC адрес: 1L4da3SCbo9w3Y1F3HoVxjyn7yTTXcWhUw
После этого свяжитесь со мной по этому email-адресу: vuleston@gmx.com
С этой темой: KEYS FOR ID 12345678mensagem.
После оплаты вы получите ключи для расшифровки ваших файлов и учебник
Ключи старше 3 дней будут автоматически удалены.
Если вы не хотите потерять свои файлы, пожалуйста, свяжитесь со мной в течение этих 3 дней.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
mensagem.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: vuleston@gmx.com
BTC: 1L4da3SCbo9w3Y1F3HoVxjyn7yTTXcWhUw
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *