Если вы не видите здесь изображений, то используйте VPN.

четверг, 24 января 2019 г.

Australian-AES

Australian-AES Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $60 AUD (австралийских долларах) в BTC, чтобы вернуть файлы. Оригинальное название: в тексте не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .aes

Этимология названия: 
Австралийская афера с шифрованием - Australian Encrypt Scam - AES. 😃
Оригинальное название вымогатели не указали. Адреса email также нет.
Получайте: Australian-AES Ransomware

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
** YOUR FILES HAVE BEEN ENCRYPTED. DO NOT CLOSE **
- Why have my files been encrypted? -
You files have been encrypted. This includes many of your important documents and other types of files, database, system files and more. Upon inspecting these encrypted files you may discover that they are using an unbreakable encryption algorithm, which can only be unlocked and decrypted with a special key.
This key can only be obtained though a bitcoin payment listed below. This is a certain way to recover and safely decrypt all your important files to get them back. All files after the amount is paid in full will be decrypted. This offer only has a certain time limit though and it's your choice whether you want the key permanently destroyed, so your files can not be decrypted at all.
For some background info, this is a simple, fund raiser attempt in the desperate, dark void of the internet. It's a noble thought intended to be good, as it's also been thought for years, but it's job is by doing right by those bad. All funds collected are filtered, then giving to charities that matter, so that as a collective of victims, a bigger reward is given to those who need it. If a small amount, is multiplied by thousands, those small interuptions in those people's lives, come at a greater cost for those who benifit from it more.
-----
- How to pay for encrypted files? -
Bitcoin is a popular cryptocurrency nowdays, and therefore it's easy to buy bitcoin. For Australian's, bitcoin.com.au has a $50 BTC minimum limit. 
Therefore, the amount is set at $60 AUD. Go to the bitcoin.com.au website and go through the steps to purchase the bitcoin. Next, use the bitcoin address provided below to send the bitcoins to that address. After that, simply wait for the time to expire and if the bitcoin's have been paid, the decryption key will be released.

 Send $60 worth of bitcoin to this BTC address: [Copy Address]
37XsqpzsJRu9pdi5KQmdZgAYPn3qhxbdDZ
Time left: 47:59:23
Decryption Key: *** [Copy Key]
Enter Key: [            ]
I have paid the BTC amount to the correct address above.
[Purchase Bitcoin] [Decrypt]
-----
** WARNING: CLOSING THIS APPLICATION WILL RESULT IN ENCRYPTED FILES BEING PERMANENTLY ENCRYPTED ** [Minimise Window]

Перевод текста на русский язык:
** ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ. НЕ ЗАКРЫВАЙ **
- Почему мои файлы были зашифрованы? -
Ваши файлы были зашифрованы. Это включая многие ваши важные документы и другие типы файлов, базы данных, системные файлы и многое другое. После проверки этих зашифрованных файлов вы обнаружите, что они используют неуязвимый алгоритм шифрования, который можно разблокировать и расшифровать только со специальным ключом.
Этот ключ можно получить только через биткоины, указанные ниже. Это точный способ восстановить и безопасно расшифровать все ваши важные файлы, чтобы вернуть их. Все файлы после полной оплаты будут расшифрованы. Это предложение имеет только заданное временное ограничение, и вы сами решаете, хотите ли вы, чтобы ключ был окончательно уничтожен, чтобы ваши файлы вообще не могли быть расшифрованы.
Для некоторой информации, это простая попытка по сбору средств в отчаянной, темной пустоте Интернета. Это благородная мысль, предназначенная для того, чтобы быть хорошей, т.к. об этом думали годами, но ее работа в том, чтобы справляться с плохими. Все собранные средства фильтруются, а затем передаются благотворительным организациям, которые имеют значение, так что, как коллектив жертв, большее вознаграждение дается тем, кто в этом нуждается. Если небольшое количество, умноженное на тысячи, эти небольшие вмешательства в жизнь этих людей, будут стоить дороже тем, кто больше от этого выигрывает.
-----
- Как оплатить зашифрованные файлы? -
Биткоин сегодня является популярной криптовалютой, поэтому купить биткоин легко. Для австралийцев на сайте bitcoin.com.au установлен минимальный лимит в 50 долларов США.

Так, сумма установлена в размере 60 австралийских долларов. Перейдите на сайт bitcoin.com.au и выполните все шаги, чтобы купить биткойн. Затем используйте адрес биткоина, указанный ниже, чтобы отправить биткоины на этот адрес. После этого просто подождите, пока время истечет и остановится, и если биткоины были оплачены, ключ дешифрования будет выпущен.

Отправьте биткоины на $60 на этот адрес BTC: [Копировать адрес]
37XsqpzsJRu9pdi5KQmdZgAYPn3qhxbdDZ
***
-----
** ПРЕДУПРЕЖДЕНИЕ: ЗАКРЫТИЕ ЭТОГО ПРИЛОЖЕНИЯ ПРИВЕДЕТ К ТОМУ, ЧТО ЗАШИФРОВАННЫЕ ФАЙЛЫ БУДУТ ЗАШИФРОВАНЫ НАВСЕГДА ** [Свернуть окно]



👉 В этой вымогательской программе имеется секретная комбинация клавиш: Alt+M. При нажатии Alt+M вымогатель показывает следующее сообщение и дает жертве ключ дешифрования.

Текст из диалоговых окон и перевод на русский:
If you found this by accident, nice luck. The decryption key is released before the timer, you can now decrypt your files.
---
Если вы нашли это случайно, удачи. Ключ расшифровки выпущен раньше таймера, теперь вы можете расшифровать ваши файлы.
-----------------------------------
Your files are now being decrypted. DO NOT close the application or your files will be corrupted and unrecoverable. The program will alert upon completion of deletion.
---
Ваши файлы расшифровываются. НЕ закрывайте приложение, иначе ваши файлы будут повреждены и невосстановимы. Программа сообщит о завершении удаления.
-----------------------------------


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Когда таймер выключен, он показывает сообщение и дает жертве ключ. Единственная проблема заключается в том, что ключ нигде не сохраняется (как он предупреждает в графическом интерфейсе), поэтому, если жертва останавливает его (выключает компьютер, отключает питание и пр.) ключ потерян. 


Текст от вымогателей и перевод на русский:
---
The decryption key was never going to be deleted, your files are now able to be unencrypted. To do so click the 'I have purchased the BTC checkbox' and using the decryption key, enter it into the textbox, and click decrypt. Watch as your files magically unencrypt. Thanks for the donation.
---
Times Up!!
---
Ключ дешифрования никогда не собирался быть удаленным, теперь ваши файлы могут быть не зашифрованы. Для этого жмите кнопку 'I have purchased the BTC checkbox' и, используя ключ дешифрования, введите его в текстовое поле и нажмите 'Decrypt'. Смотрите, как ваши файлы магически не зашифрованы. Спасибо за пожертвование.
---
Время вышло !!
-----------------------------------

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ***
BTC: 37XsqpzsJRu9pdi5KQmdZgAYPn3qhxbdDZ
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Возможно, что файлы можно будет расшифровать.
Но мы пока не знаем, есть ли пострадавшие вообще. 
Если таковые будут, пишите в форму обратной связи. 
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 23 января 2019 г.

JSWorm, JSWorm 2.0, JSWorm 3.1

JSWorm Ransomware

JSWorm 2.0 Ransomware

JSWorm 3.0-3.1 Ransomware

JSWorm 4.0.2-4.0.3 Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью Blowfish, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: JSWorm, в записке не указано. Написан: на C# (ранняя версия), на C++ (версия 2.0). 

Обнаружения: 
DrWeb -> Trojan.Encoder.27988, Trojan.Encoder.28062, Trojan.Encoder.28180
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
Malwarebytes -> Ransom.JSWorm
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Jurasik.Fotl

© Генеалогия: GusCrypter >> JSWorm-2 > JSWorm-3 > JSWorm > JSWorm-4


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .JSWORM


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранний образец этого крипто-вымогателя был найден во второй половине января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: JSWORM-DECRYPT.html

Содержание записки о выкупе:
ALL YOUR FILES LOCKED!
YOUR PID: %HWID%
YOUR PERSONAL EMAIL: NIGER1253@COCK.LI
WHAT NOW?
Email us
Write your ID at title of mail and country at body of mail and wait answer
You have to pay some bitcoins to unlock your files!
DON'T TRY DECRYPT YOUR FILES!
If you try to unlock your files, you may lose access to them!
REMEMBER!
No one can guarantee you a 100% unlock except us!
How to buy bitcoin

Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЛОКИРОВАНЫ!
Ваш PID: %HWID%
ВАШ ЛИЧНЫЙ EMAIL: NIGER1253@COCK.LI
ЧТО ТЕПЕРЬ?
Свяжитесь с нами по email
Напишите свой ID в названии письма и страну в теле письма и ждите ответ 
Вы должны заплатить несколько биткоинов, чтобы разблокировать ваши файлы!
Не пытайтесь расшифровать ваши файлы!
Если вы попробуете разблокировать ваши файлы, вы можете потерять к ним доступ!
ПОМНИТЕ!
Никто не может гарантировать вам 100% разблокировку, кроме нас!
Как купить биткойн



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Ошибка в коде ранней версии сводит на "нет" связь пострадавших с вымогателем. Уплата выкупа для ранней версии бесполезна, но файлы можно расшифровать. Смотрите после статьи раздел ссылок. 

➤ Файлы, зашифрованные более новыми версиями, в некоторых случаях могут быть расшифрованы. Смотрите после статьи раздел ссылок. 

➤ Файлы частично зашифрованы (0x27100 байт). Впрочем, могут быть различия в разных версиях. Нет подробного технического анализа по разным версиям, чтобы можно было добавить подробностей и опубликовать ссылку на статью в разделе ссылок. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. 

➤ Останавливает множество служб. Завершает множество процессов, связанных с базами данных (MSSQL, MySQL, QuickBooks). 

➤ Очищает системные журналы и отключает их ведение. 

 Активирует ключ реестра "EnableLinkedConnections", чтобы атаковать подключенные диски при запуске от имени администратора.

 Активирует и перезапускает отключенные службы SMB (LanmanWorkstation). 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
JSWORM-DECRYPT.html
JSWorm.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: NIGER1253@COCK.LI
BTC: ***
Jabber: jsworm@exploit.im
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


JSWorm Ransomware - январь 2019
JSWorm 2.0 Ransomware - апрель-май 2019
JSWorm 3.0 -3.1 Ransomware - июнь 2019





=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Данные по версии 2.0:

Обновление от 25 апреля 2019:
Пост в Твиттере >>
Версия: JSWorm 2.0
Расширение: .JSWORM
Результаты анализов: VT
Статус: файлы можно расшифровать! 


Обновление от 7 мая 2019:
Расширение: .JSWORM
Составное расширение: .[ID-XXXXXXXXX][remarkpaul77@cock.li].JSWORM
Записка: JSWORM-DECRYPT.txt
Email: remarkpaul77@cock.li, alfred.helper@keemail.com
➤ Содержание записки о выкупе: 
All your files were encrypted!
Your personal ID: XXXXXXXXXXX
>>> Contacts:
    remarkpaul77@cock.li
    alfred.helper@keemail.com (in case of no answer)
>>> What should I include in my message?
1. Country
2. List of encrypted drives and their size
3. Extension of encrypted files (.[ID-XXXXXXXXXX][remarkpaul77@cock.li].JSWORM)
4. JSWORM PUBLIC KEY (below)
>>> Free decryption as guarantee!
Before paying you send us up to 3 files for free decryption.
We recommeded to send pictures, text files, sheets, etc. (files no more than 1mb)
>>> ATTENTION!
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increased price (they add their fee to 
our) or you can become a victim of a scam.
-------BEGIN JSWORM PUBLIC KEY-------
**********************************
-------END JSWORM PUBLIC KEY-------

Пострадавшие из следующих стран: Италия, Франция, Турция, Иран, Вьетнам, Германия, Бразилия, Аргентина, ЮАР, США.
Статья на BC от 21 мая 2019 >>
Результаты анализов: VT

Обновление от 14 мая 2019:
Пост в Твиттере >>
По сообщению MalwareHunterTeam, деятели из JSWorm передали привет исследователям S!Ri, Demonslay и Amigo. 
Ну, хоть кто-то сказал нам "Привет!" 😄 
Результаты анализов: VT


Обновление от 23 мая 2019:
Топик на форуме >>
Этот вариант распространялся в Китае. 
Статья по этому варианту (на китайском) >>
Расширение: .JURASIK
Шаблон составного расширения: .[ID-1234567890][notfreekrypt@tutanota.com].JURASIK
Email: notfreekrypt@tutanota.com, notfreekrypt@cock.li
Записка о выкупе: JURASIK-DECRYPT.txt
Файл EXE: JSWorm.exe, build.exe
Результаты анализов: VT


Обновление от 27 мая 2019:
Расширение: .JSWORM
Шаблон составного расширения: .[ID-123456789][andriybakyn@inbox.lv].JSWORM
Пример зашифрованного файла: document.doc.[ID-123456789][andriybakyn@inbox.lv].JSWORM
Записка: JSWORM-DECRYPT.txt
Email: andriybakyn@inbox.lv, bazzel.night@mail.com
➤ Содержание записки о выкупе: 
Don't worry, all your files under strong protection!
Your personal ID: 878284***
>>> Contacts:
andriybakyn@inbox.lv
bazzel.night@mail.com (in case of no answer)
>>> What should I include in my message?
1. Your country and city
2. This TXT file
3. Some files for free decryption
>>> Free decryption as guarantee!
Before paying you send us up to 3 files for free decryption.
Send pictures, text files. (files no more than 1mb)
If you upload the database, your price will be doubled
>>> ATTENTION!
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increased price (they add their fee to 
our) or you can become a victim of a scam.
>>> Ways of obtaining bitcoin:
1. https://localbitcoins.com
2. https://www.coinbase.com
3. https://www.xmlgold.eu
--------BEGIN JSWORM PUBLIC KEY--------
cyc9eQYHHxkpODsZLhkzfgAiADESKSQZHn***
--------END JSWORM PUBLIC KEY--------
--------BEGIN JSWORM USER DATA--------
DTEbLwYXHCJoAXQ4CjdjBgo+BjoYey0WAx***
--------END JSWORM USER DATA--------

Обновление от 29 мая 2019:
Расширение: .JURASIK
Email: doctorSune@protonmail.com, supportdoctor@protonmail.com
➤ Содержание записки о выкупе: 
Don't worry, all your files under strong protection!
Your personal ID: 38697*****
>>> Contacts:
doctorSune@protonmail.com
supportdoctor@protonmail.com (in case of no answer)
>>> What should I include in my message?
1. Your country and city
2. This TXT file
3. Some files for free decryption
>>> Free decryption as guarantee!
Before paying you send us up to 3 files for free decryption.
Send pictures, text files. (files no more than 1mb)
If you upload the database, your price will be doubled
>>> ATTENTION!
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increased price (they add their fee to 
our) or you can become a victim of a scam.
>>> Ways of obtaining bitcoin:
1. https://localbitcoins.com
2. https://www.coinbase.com
3. https://www.xmlgold.eu
--------BEGIN UNNAMED PUBLIC KEY--------
AyU/PyYoMgUGBjE1Di8lCjUkAxQ6Jjo4MygbChUTICggADUBewAUKQsXLCApPhQH
***
--------END UNNAMED PUBLIC KEY--------
--------BEGIN UNNAMED USER DATA--------
ADEFCBkcegVjEREcCnIJBAw/AnMlBDQ5CXACDAgSPHZiJxM5HAoYKiU1HRc4fA5k
***
--------END UNNAMED USER DATA--------



Обновление от 8 июня 2019:
Номер версии: JSWORM 3.1
Они даже взяли картинку из этой статьи. Видимо понравилась. :) 
Топик на форуме >>
Расширение: .JSWORM
Составное расширение: .[ID-1234567890][backupuser198@gmail.com].JSWORM
Email: backupuser198@gmail.com
Записка: JSWORM-DECRYPT.hta
➤ Содержание записки о выкупе: 
All your files were encrypted!
All your files have been encrypted due to a security problem with your OC. If you want to restore them, write us to the e-mail: backupuser198@gmail.com
Write this unique identificator in the title of your message: 1592098***
In case of no answer in 24 hours write us to this e-mail:
You have to pay for decryption in Bitcoins. The price depends on how fast you write us. After payment we will send you the decryption tool that will decrypt all you files.
Free decryption as proof!
Before paying you can send us 1 file for free decryption. The total size of file must be less than 1MB (non-archived)
and files shouldn't contain valuable information (databasesm backupsm large excel sheets, etc)

Обновление от 9 июня 2019:
Номер версии: JSWORM v.3.0
Расширение: .JSWORM
Шаблон составного расширения: .[ID-3456789012][jurasik@cock.li].JSWORM
Записка: JSWORM-DECRYPT.hta
Email: jurasik@cock.li, jsworm@cock.li
➤ Содержание записки о выкупе: 
All your files were encrypted!
All your files have been encrypted due to a security problem with your OC. If you want to restore them, write us to the e-mail: jurasik@cock.li
Write this unique identificator in the title of your message: 3529887933
In case of no answer in 24 hours write us to this e-mail: jsworm@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write us. After payment we will send you the decryption tool that will decrypt all you files.
Free decryption as proof!
Before paying you can send us 1 file for free decryption. The total size of file must be less than 1MB (non-archived)
and files shouldn't contain valuable information (databases, backups, large excel sheets, etc)
Attention!
---> Don't rename encrypted files.
---> Don't try to decrypt your data using third party software, it may cause permanent data loss.
---> Decryption of your files with the help of third parties may cause increased price or you can become a victim of a scam.

Обновление от 19 июня 2019:
Топик на форуме >>
Номер версии: JSWORM v.3.1
Расширение: .JSWORM
Составное расширение: defontes.xlsx.[ID-123456789][jurasik@cock.li].JSWORM
Email: jurasik@cock.li, jsworm@cock.li
Записка: JSWORM-DECRYPT.hta
➤ Содержание записки о выкупе: 
All your files were encrypted!
All your files have been encrypted due to a security problem with your OC. If you want to restore them, write us to the e-mail: jurasik@cock.li
Write this unique identificator in the title of your message: 713693837
In case of no answer in 24 hours write us to this e-mail: jsworm@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write us. After payment we will send you the decryption tool that will decrypt all you files.
Free decryption as proof!
Before paying you can send us 1 file for free decryption. The total size of file must be less than 1MB (non-archived)
and files shouldn't contain valuable information (databases, backups, large excel sheets, etc)
Attention!
---> Don't rename encrypted files.
---> Don't try to decrypt your data using third party software, it may cause permanent data loss.
---> Decryption of your files with the help of third parties may cause increased price or you can become a victim of a scam.


Обновление от 30 июня 2019: 
Пост в Твиттере >>
Пост в Твиттере >>
Номер версии: JSWORM v.4.0.2
Расширение: .JSWRM
Шаблон расширения: .[ID-<id>][<email>].JSWRM
Пример зашифрованного файла: eula.rtf.[ID-9A8I36E][symmetries@tutamail.com].JSWRM
Email: symmetries@tutamail.com, symmetries@tutanota.com
Записка: JSWRM-DECRYPT.hta
Результаты анализив: VT + VT + VMR

Обновление от 13 июля 2019: 
Топик на форуме >>
Топик на форуме >>
Номер версии: JSWORM v.4.0.2
Расширение: .JSWRM
Шаблон расширения: .[ID-<id>][<email>].JSWRM
Пример зашифрованного файла: banner.png.[ID-31NSXXX][tryingtobegood@cock.li].JSWRM
Email: tryingtobegood@cock.li
Записка: 31NSXXX-DECRYPT.hta
Шаблон записки: <id>-DECRYPT.hta


Обновление от 23 июля 2019: 
Топик на форуме >>
Номер версии: JSWORM v.4.0.3
Расширение: .JSWRM
Шаблон расширения: .[ID-<id>][<email>].JSWRM
Примеры зашифрованных файлов: 
banner.png.[ID-YHFOXXX][kviss@protonmail.com.JSWRM
news.txt.[ID-YHFO6S9][kviss@protonmail.com].JSWRM 
Email: kviss@protonmail.com

Обновление от 27 июля 2019: 
Топик на форуме >>
Номер версии: JSWORM v.4.0.3
Расширение: .JSWRM
Шаблон расширения: .[ID-<id>][<email>].JSWRM
Пример зашифрованного файла: 
banner.png.[ID-53W4XXX][tryingtobegood@cock.li].JSWRM
Email: tryingtobegood@cock.li
Примеры записок: 53W4XXX-DECRYPT.hta, AKX45SJ-DECRYPT.hta
Шаблон записки: <id>-DECRYPT.hta
➤ Содержание записки:
JSWORM 4.0.3
Your files are corrupted!
Identificator for files: AKX45SJ
E-mail for contact: tryingtobegood@cock.li
Backup e-mail for contact : tryingtobegood@cock.li
Free decryption as guarantee!
Before paying you can request free decryption of 3 files.
Total size of files must be less than 5MB (non-archived).
Files shouldn't contain valuable information (accept only txt\jpg\png).
Attention!
Don't try to decrypt it manually.
Don't rename extension of files.
Don't try to write AV companies (they can't help you).


Обновление августа 2019:
Похоже на то, что JSWorm изменился на Nemty.
Отдельная статья: Nemty Ransomware


=== 2020 ===

Обновление от 15 сентября 2020 (распространялось в 2019):
Статус: Можно расшифровать!
Записка: JBUIIGF-DECRYPT.hta
Email: kviss@protonmail.com
➤ Содержание записки: 
Your files are corrupted!
Identificator for files: JBUIIGF
E-mail for contact: kviss@protonmail.com
Backup e-mail for contact : kviss@protonmail.com
Free decryption as guarantee!
Before paying you can request free decryption of 3 files.
Total size of files must be less than 5MB (non-archived).
Files shouldn't contain valuable information (accept only txt\jpg\png).
Attention!
Don't try to decrypt it manually.
Don't rename extension of files.
Don't try to write AV companies (they can't help you).





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Иногда файлы можно расшифровать. 
1) Файлы 1-й версии можно дешифровать.
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >> 
2) Для файлов, зашифрованных JSWorm 2.x есть дешифровщик.
Прочтите инструкцию и скачайте Emsisoft Decrypter >> *
3) Для файлов, зашифрованных JSWorm 3.x пока нет дешифровщика.
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >> 
4) Для файлов, зашифрованных JSWorm 4.x есть дешифровщик.
Прочтите инструкцию и скачайте Emsisoft Decrypter >>
К сожалению, версии новее 2.0 пока не могут быть расшифрованы.
Если ваши файлы зашифрованы, пришлите нам несколько зашифрованных файлов и записки.
*
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as JSWorm, JSWorm 2.0)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author), CyberSecurity GrujaRS
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Vaca

Vaca Ransomware

Xorist-Vaca Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп отправить SMS на короткий номер, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: ara.exe.

© Генеалогия: Xorist >> Vaca

К зашифрованным файлам добавляется расширение: .vaca

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден во второй половине января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
Attention! All your files are encrypted!
To restore your files and access them,
please send an SMS with the text XXXX to YYYY number.
You have N attempts to enter the code.
When that number has been exceeded,
all the data irreversibly is destroyed.
Be careful when you enter the code!

Перевод записки на русский язык:
Внимание! Все ваши файлы зашифрованы!
Чтобы вернуть ваши файлы и доступ к ним,
отправьте SMS с текстом XXXX на номер YYYY.
У вас есть N попыток ввода кода.
Когда это число будет превышено,
все данные будут уничтожены.
Осторожно при вводе кода!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
ara.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: не используется
BTC: не используется
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 октября 2020: 
Расширение: .locked3dllkierff
Результаты анализов: VT + IA
См. также статью Xorist 2020 Ransomware >>



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 
 Thanks: 
 Marcelo Rivero, Petrovic
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *