Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 27 января 2019 г.

Spiteful Doubletake

Spiteful Doubletake Ransomware

(шифровальщик-вымогатель, тест-шифровальщик)

Этот крипто-вымогатель шифрует данные пользователей с помощью Blowfish + CBC+ hardcoded key "SOC Ransomware Test", а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: Spiteful Doubletake. На файле написано: Spiteful Doubletake (LIVE).exeНаписан в Perl. Целевая система: x64 Windows. Прямо сообщает пострадавшим, что он возьмёт деньги, но не вернёт файлы. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .enc

Этимология названия:
Оригинальное название "Spiteful Doubletake" переводится как "Злобный дубль". Смысл заключается в двух диалоговых окнах, в котором описывается вся суть этого "злобного дубля". 
Мораль: Не плати вымогателям, они уйдут с твоими деньгами. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце января 2019 г. Штамп времени создания: 13 декабря 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает диалоговые окна. Текст написан на корявом английском, но смысл понять можно. 
При клике на кнопку [Pay Now!] появляется второе окно. 
Можно предположить, что по замыслу разработчика это должно научить пострадавших НЕ платить вымогателям. 

Содержание текста о выкупе:
All your files are belong to me!!!
You persn foolish, all youre files have i encrypted and you must pay NOW!
If you dont you fle be gone forever
You must pay now my bitcoin address $500 dollars usd cash.
You will neuer euer see your files again if you do not pay.
Pay bitcoins address: 1FfmbHfnpaZjKFuyilokTjJJusN455paPH
[Pay Now!]
----------
You fool! I'm not going to actually give you your files back!
But I will take your money though.
[Okay...]

Перевод текста на русский язык:
Все твои файлы принадлежат мне !!!
Ты глупый человек, все твои файлы зашифрованы, и ТЕПЕРЬ ты должен платить!
Если ты этого не делаешь, файлы исчезнут навсегда
Ты должен заплатить мой биткоин-адрес $500 долларов США.
Ты никогда не увидишь свои файлы, если не будешь платить.
Плати на биткоин-адрес: 1FfmbHfnpaZjKFuyilokTjJJusN455paPH
[Платить сейчас!]
----------
Ты дурак! Я не буду возвращать тебе твои файлы!
Хотя я и заберу твои деньги.
[Окей...]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Разработчик прямым текстом сообщает, что уплата выкупа бесполезна

➤ Шифрование реально присутствует. Картинка в подтверждение. 
Скриншоты из кода шифровальщика.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Spiteful Doubletake (LIVE).exe
CSPITEFUL DOUBLETAKESpiteful Doubletake (LIVE).exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ***
BTC: 1FfmbHfnpaZjKFuyilokTjJJusN455paPH
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jakub Kroustek
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 25 января 2019 г.

Scarab-Gefest, Gefest 3.0

Gefest 3.0 Ransomware

Scarab-Gefest Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Gefest 3.0 и GEFEST 3.0 RANSOMWARE. На файле написано: нет данных.

© Генеалогия: Scarab Ransomware >> Scarab-Amnesia > предыдущие варианты > Scarab-Gefest (Gefest 3.0)
Это изображение — логотип статьи. Изображает скарабея с подковой и огнём.
This image is the logo of the article. It depicts a scarab with horseshoe and fire.

К зашифрованным файлам добавляется расширение: .GEFEST


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе:
                                  GEFEST 3.0 RANSOMWARE
Your files has been encrypted using RSA2048 algorithm with unique public-key stored on your PC.
There is  only one way   to get your files back:  contact with us,  pay,  and get  decryptor software.
We accept Bitcoin, and other cryptocurrencies,  you can find exchangers on bestbitcoinexchange.io  
You have unique idkey , write it in letter when contact with us.
Also you can decrypt 1 file for test, its guarantee what we can decrypt your files.
                                      Attention!   
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
                                  Contact information:
                          primary email: mrpeterson@cock.li
                          reserve email: debora2019@airmail.cc
  Your unique idkey:
+4IAAAAAAAAU0+K0H***UPnm8MToAQ

Перевод записки на русский язык:
                                  GEFEST 3.0 RANSOMWARE
Ваши файлы зашифрованы с алгоритмом RSA2048 с уникальным открытым ключом, хранящимся на вашем ПК.
Есть только один способ вернуть ваши файлы: связаться с нами, оплатить и получить программу расшифровки.
Мы принимаем биткоины и другие криптовалюты, вы можете найти обменники на bestbitcoinexchange.io
У вас есть уникальный idkey, напишите его в письме, когда свяжитесь с нами.
Также вы можете расшифровать 1 файл для проверки, это гарантия того, что мы можем расшифровать ваши файлы.
                                       Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
                                   Контакты:
                           основной email: mrpeterson@cock.li
                           резервный email: debora2019@airmail.cc
Ваш уникальный idkey:
+4IAAAAAAAAU0+K0H***UPnm8MToAQ

Примечание. 
Часть текста записки (почти 4 строки) скопированы из html-записки Sigrun Ransomware (обновление от 24 мая 2018). Так как это непопулярное заимствование, то можно предположить, что sigrun'цы перешли на этот Scarab и взяли в название другой мифологический персонаж — Гефест из греческой мифологии. 
Позже я обнаружил, что кто-то из тех, кто ранее использовал Hermes Ransomware, тоже перешел на Scarab и стал использовать Scarab-Gefest для вымогательства денег. Так, что дорожка оказалась более длинной. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mrpeterson@cock.li, debora2019@airmail.cc
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
Scarab-Enter - ноябрь 2018
Scarab-Aztec (Pizza) - декабрь 2018
Scarab-Zzz - январь 2019
Scarab-Crash - январь 2019
Scarab-Gefest - январь 2019
Scarab-Artemy - февраль 2019
Scarab-Kitty - март 2019
Scarab-Monster - апрель 2019
и другие...



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 12 февраля 2019:
Пост в Твиттере >>
Расширение: .Gefest3
Записка: DECRYPT INFORMATION.TXT
Email: mrpeterson@cock.li, debora2019@airmail.cc



Обновление от 21 марта 2019:
Пост в Твиттере >>


Обновление от 22 марта 2019:
Пост в Твиттере >>
Расширение: .GFS
Составное расширение: .[mrpeterson@cock.li].GFS
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: mrpeterson@cock.li

Обновление от 7-14 апреля 2019:
Топик на форуме >>
Расширение: .crabslkt или .CRABSLKT
Email: resoutnowfewminutes@airmail.cc
Email BM: BM-2cTSTDcCD5cNqQ5Ugx4US7momFtBynwdgJ@bitmessage.ch
Этот адрес использовался ранее вымогателями, распространявшими Hermes Ransomware. 
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
➤ Содержание записки: 
Your files has been encrypted using RSA2048 algorithm with unique public-key stored on your PC.
There is  only one way   to get your files back:  contact with us,  pay,  and get  decryptor software.
We accept Bitcoin, and other cryptocurrencies,  you can find exchangers.  
You have unique idkey , write it in letter when contact with us.
Also you can decrypt 1 file for test(not important), its guarantee what we can decrypt your files.
Attention!   
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Contact information:
primary email: BM-2cTSTDcCD5cNqQ5Ugx4US7momFtBynwdgJ@bitmessage.ch
reserve email: resoutnowfewminutes@airmail.cc
 Your unique idkey:
+4IAAAAAAAA***FhpQ0
Your message will be as confirmation you are ready to pay for decryption key.





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Emmanuel_ADC-Soft >>
---
Attention!
Files can be decrypted!
I recommend getting help with this link to Emmanuel_ADC-Soft >>
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 Emmanuel_ADC-Soft, Michael Gillespie
 Andrew Ivanov
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Cyspt

Cyspt Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Cyspt. На файле написано: arescrypt.exe

© Генеалогия: AresCrypt >> BlackFireEyeCyspt 

К зашифрованным файлам добавляется расширение: .OOFNIK


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2019 г. Штамп времени: 19 января 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Вероятно является просто переименованным вариантом AresCrypt.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Cyspt has locked your PC!!!!
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases, and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
In addition, your PC will be unable to close this without restarting, which will be fatal to your files.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily.
But if you want to decrypt all your files, you need to pay.
You only have 24 hours to submit the initial, low rate payment. After that the price will be doubled.
Also, if you don't pay in 3 days, you won't be able to recover your files forever.
How Do I Pay?
Payment is accepted in Bitcoin only. For more information, click <About Bitcoin>.
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy Bitcoin>.
And send the correct amount to the address specified in this window.
To confirm the payment, send a message to cysptcc@gmail.com
Send your unique id, along with your Bitcoin account
After your payment, click <Check Payment>. 8est time to check: 5:00 to 8:00 EST.
Once the payment is checked, you can start decrypting your files immediately.
Contact
DO NOT REMOVE OUR SOFTWARE OR REBOOT.
THIS WILL RESULT IN AN AUTOMATIC REVOCATION OF OUR DECRYPTION SERVICES.
---
Send $40 worth of Bitcoin to this address:
1CKAsRbfSnvpWvfkk9Y5p5yUzMk4fTbLu7

Перевод записки на русский язык:
Cyspt заблокировал ваш ПК !!!!
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов теперь недоступны, т.к. они зашифрованы. Возможно, вы ищете способ восстановить ваши файлы, но не тратите свое время. Никто не сможет восстановить ваши файлы без нашего сервиса расшифровки.
Кроме того, ваш ПК не сможет закрыть это без перезагрузки, что будет фатальным для ваших файлов.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы можете безопасно и легко восстановить все ваши файлы.
Но если вы хотите расшифровать все ваши файлы, вам нужно заплатить.
У вас есть только 24 часа для подачи указанного платежа по низкой ставке. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течение 3 дней, вы не сможете восстановить свои файлы никогда.
Как мне оплатить?
Оплата принимается только в биткоинах. Для получения дополнительной информации нажмите <About Bitcoin>.
Пожалуйста, проверьте текущую цену Биткоина и купите биткоины. Для подробной информации нажмите <How to buy Bitcoin>.
И отправьте правильную сумму по адресу, указанному в этом окне.
Чтобы подтвердить платеж, отправьте сообщение на cysptcc@gmail.com
Отправьте свой уникальный id вместе с вашим Bitcoin аккаунтом
После оплаты нажмите <Check Payment>. Лучшее время для проверки: с 5:00 до 8:00 EST.
После проверки платежа вы можете сразу же приступить к расшифровке файлов.
Контакт
НЕ УДАЛЯЙТЕ НАШУ ПРОГРАММУ ИЛИ НЕ ПЕРЕЗАГРУЖАЙТЕ.
ЭТО ПРИВЕДЕТ К АВТОМАТИЧЕСКОМУ ОТЗЫВУ НАШИХ СЛУЖБ ДЕШИФРОВАНИЯ.
---
Отправьте $40 в биткоинах по этому адресу:
1CKAsRbfSnvpWvfkk9Y5p5yUzMk4fTbLu7



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
arescrypt.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cysptcc@gmail.com
BTC: 1CKAsRbfSnvpWvfkk9Y5p5yUzMk4fTbLu7
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as AresCrypt)
 Write-up, Topic of Support
 🎥 Video review >>
 - Видеообзор от CyberSecurity GrujaRS
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author), GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 24 января 2019 г.

Drakos

Drakos Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $1200 в BTC, чтобы вернуть файлы. Оригинальное название: Drakos, указано в записке. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .drakos

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден во второй половине 2019 г. Связь с GandCrab какая-то мутная... Как потом оказалось, этот Ransomware был заявлен в начале января, только пока муть осела, что-то всплыло на поверхность. 

Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Запиской с требованием выкупа выступает веб-страница, названия которой не указано. Некое пояснение от создателей Drakos Ransomware можно считать пояснительной запиской. 

Содержание текста со страницы:
Drakos ransomware
[Have you got advice?] [*** Any attempts to get back you files with the third-party tools can be fatal for your encrypted files ***] The most part of the tried-party software change data with the encrypted files to restore it but this cases damage to the files.
Finally it will be impossible to decrypt your files. When you make a puzzle but some items are lost, broken or not put in its place - the puzzle items will never match, the same way the third-party software will run your files completely and irreversibly. You should realise that any intervention of the third-party software to restore files encrypted with the "Drakos Ransomware" software may be fatal for your files. If you look through this text in the Internet and realise that something is wrong with your files but you do not have any instructions to restore your files, please contact your antivirus support.

Перевод текста на русский язык:
Drakos Ransomware
[Хотите совет?] [*** Любые попытки вернуть ваши файлы сторонними инструментами будут фатальными для ваших зашифрованных файлов ***] Большая часть проверенных программ изменяет данные зашифрованных файлов, чтобы восстановить их, но это приводит к повреждению файлов.
В итоге будет невозможно расшифровать ваши файлы. Когда вы создаете головоломку, но некоторые элементы теряются, ломаются или не встают на свои места - элементы головоломки никогда не совпадут, точно так же, как сторонние программы будет запускать ваши файлы полностью и безвозвратно. Вы должны понимать, что любое вмешательство сторонних программ для восстановления файлов, зашифрованных с помощью программного обеспечения "Drakos Ransomware", может быть фатальным для ваших файлов. Если вы просматриваете этот текст в Интернете и обнаруживаете, что с вашими файлами что-то не так, но у вас нет никаких инструкций по восстановлению файлов, обратитесь в службу поддержки антивирусных программ.

Мутный сайт, мутные страницы. Я не буду ничего комментировать, а просто оставлю это здесь.




Но это не всё, исследователь представил несколько скриншотов, на которых можно что-то разобрать. 

На скриншотах с сайта gandcratjyr44pms.onion присутствуют скриншоты с некими мультяшными крабами. Я ж говорю, мутные какие-то. 
Зачем-то объявили себя "GandCrab as a service Ransomware (RaaS)". Но исследователи сообщают, что это фейк. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: gandcrab@tutanota.com, gandcrabraas@exploit.im
BTC:
URL: gandcratjyr44pms.onion
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 David Montenegro, Damian
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *