Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 3 февраля 2019 г.

Maoloa

Maoloa Ransomware

Unnamed RDP-Reset Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью SHACAL-2 (но в коде есть что-то от SHA-512 и SHA-224), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения: 
DrWeb -> Trojan.Encoder.11539, Trojan.Encoder.28101, Trojan.Encoder.30969
ESET-NOD32 -> Win32/Filecoder.Maoloa.A, Win32/Filecoder.Maoloa.E
Ikarus -> Trojan-Ransom.Maoloa
BitDefender -> Trojan.Ransom.Maoloa.A
Avira -> TR/Maoloa.*
Другие обнаружения, определенные как GlobeImposter, ошибочные и их можно не учитывать!

© Генеалогия: ✂️ GlobeImposterпредыдущие варианты > Maoloa, Alco, другие Unnamed Ransomware

Почему это не GlobeImposter?
Майкл Джиллеспи подтвердил, что это не GlobeImposter. Идентификатор жертвы и маркеры файлов вообще другие. Анализ текста показывает совпадение знаков и текста в некоторых вариантах GlobeImposter 2.0 прошлого года и одной версии декабря 2017 года. Таким образом, это фальшивый GlobeImposter и обнаружения на VT ошибочные. 


Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .maoloa 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале февраля 2019 г. Штамп времени: 3 февраля 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Нет никаких данных о массовом распространении. Вероятно, что это тестовый или единичный экземпляр. 

Записка с требованием выкупа называется: HOW BACK YOUR FILES.txt
Содержание записки о выкупе:
** All your files have been encrypted **
 *** PLEASE READ THIS ***
**** IF YOU WANT TO GET ALL YOUR FILES BACK ****
 _______________________________________________________________ATTENTION
| * Do not rename encrypted files.
| * Do not try to decrypt your data using third party software, this can
|   result in complete data loss.
|_______________________________________________________________
Send us email with your personal id.
This email will be as confirmation you are ready to pay for decryption key. 
After payment, we send you the decryption tool, that decrypt all your files.
Before paying you can send 2 file for free decryption. The total size of file 
must be less than 1Mb (non archived), and files should not contain valuable 
information (backups, databases, large excel-word sheets, etc.)
CONTACT US: ormazd_ahura@aol.com, maoloa@india.com, maoloa@yahoo.com
------------------------------------- KEY -------------------------------------
{{ID}}
-------------------------------------------------------------------------------


Перевод записки на русский язык:
** Все ваши файлы были зашифрованы **
  *** ПОЖАЛУЙСТА ПРОЧТИТЕ ЭТО ***
**** ЕСЛИ ВЫ ХОТИТЕ ВЕРНУТЬ ВСЕ ФАЙЛЫ ****
---
ВНИМАНИЕ
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к полной потере данных.
---
Отправьте нам письмо с вашим личным id.
Это письмо будет подтверждением того, что вы готовы заплатить за ключ расшифровки.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Перед оплатой вы можете отправить 2 файла для бесплатной расшифровки. Общий размер файла должен быть менее 1 МБ (не в архиве), и файлы не должны содержать ценной информации (резервные копии, базы данных, большие таблицы Excel и т. д.)
СВЯЗЬ С НАМИ: ormazd_ahura@aol.com, maoloa@india.com, maoloa@yahoo.com
------------------------------------- KEY -------------------------------------
{{ID}}
-------------------------------------------------------------------------------



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет теневые копии файлов с помощью команды:
vssadmin.exe Delete Shadows / All / Quiet

➤ Очищает журналы Windows. 
➤ Сбрасывает настройки RDP на дефолтные (меняет атрибуты файла Default.rdp). 
➤ Отключает работу баз данных, сервисных служб, отключает оповещения об их остановке при загрузке системы: 
MongoDB, SQLWriter, MSSQLServerOLAPService, MSSQLSERVER, MSSQL$SQLEXPRESS, ReportServer, OracleServiceORCL, OracleDBConsoleorcl, OracleMTSRecoveryService, OracleVssWriterORCL, MySQL

Список файловых расширений, подвергающихся шифрованию:
.1ch, .acl, .acrodata, .adr, .aod, .bak, .bdic, .bin, .blog, .conf, .contact, .crl, .css, .customUI, .dat, .db, .db-journal, .dic, .doc, .docm, .docx, .dot, .dotm, .emf, .eot, .etl, .feed-ms, .fey, .fingerprint, .gif, .htm, .icc, .idx, .ini, .jpg, .jrs, .js, .json, .jsonlz4, .ldb, .lib, .library-ms, .little, .lnk, .log, .lst, .lz4, .lz4, .mozlz4, .mp3, .obi, .oeaccount, .old, .one, .onecache, .onetoc2, .pb, .pma, .png, .pset, .pst, .rdy, .rtf, .sbstore, .searchconnector-ms, .search-ms, .sig, .sqlite, .sqlite3, .srs, .store, .ttf, .txt, .url, .vkf, .vpol, .vrt, .wfe, .win, .wmdb, .wmv, .woff, .wpl, .wtv, .xml 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы без расширений и многие другие типы файлов. 

Файлы, связанные с этим Ransomware:
HOW BACK YOUR FILES.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ormazd_ahura@aol.com, maoloa@india.com, maoloa@yahoo.com
BTC: ***
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 6 ноября 2018 и даже раньше (в сентябре 2018):
Пост  в Твиттере >>
Этот вариант подробно описан в статье Alco Ransomware >>>
Расширение: .Ox4444
Этимология названия расширения: ox - по-английски: вол, бык.
Результаты анализов: VT + VMRay

Обновление от 28 февраля 2019:
Расширение: .brydreed
Email: informerdecrypted@aol.com, brydreed@india.com
Записка: HOW TO BACK YOUR FILES.TXT
➤ Содержание записки: 
** All your files have been encrypted **
*** PLEASE READ THIS ***
**** IF YOU WANT TO GET ALL YOUR FILES BACK ****
_______________________________________________________________
ATTENTION
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, this can
result in complete data loss.
_______________________________________________________________
Send us email with your personal encryption KEY.
This email will be as confirmation your are ready to pay for decryption key. 
After payment, we send you the decryption tool, that decrypt all your files.
Before paying you can send 2 file for free decryption. The total size of file 
must be less than 1Mb (non archived), and files should not contain valuable 
information (backups, databases, large excel-word sheets, etc.)
CONTACT US: informerdecrypted@aol.com, brydreed@india.com
------------------------------------- KEY -------------------------------------
N5ET35KOBD6T7*****ORP7KA2A=
-------------------------------------------------------------------------------

Обновление от 1 марта 2019:
Этот вариант подробно описан в статье Alco Ransomware >>>
Пост в Твиттере >>
Расширение: .Alco4444
Этимология названия расширения: алько - южноамериканская дикая собака. 
Записка: HOW TO BACK YOUR FILES.txt
Email: Ñhina.helper@aol.com, Ñhina.helper@india.com 
Вероятно, правильные адреса: China.Helper@aol.com, China.Helper@india.com
Результаты анализов: VT 
➤ Содержание записки:
YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!
4.We can decrypt few files in quality the evidence that we have the decoder.
DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US:
Ñhina.helper@aol.com 
Ñhina.helper@india.com 
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
S/oR50rtft/2yT81cpZXZEdzhmaktbMclM2w]uksSsP3DV***


Обновление от 20 марта 2019:
Этот вариант подробно описан в статье Alco Ransomware >>>
Расширение: .Mr-X666
Результаты анализов: VT 


Обновление от 10 апреля 2019: 
Этот вариант подробно описан в статье Alco Ransomware >>>
Расширение: .Tiger4444
Этимология названия расширения: tiger - по-английски: тигр. 
Записка: how_to_back_files.html или HOW TO BACK YOUR FILES.txt

Обновление от 11 апреля 2019: 
Топик на форуме >>
Расширение: .tabufa
Email: tabufa@protonmail.com, tabufa@airmail.cc

Файл EXE: meaykdxuvtfy.exe или типа того.
Записка: how_to_back_files.html или другой файл. 
➤ Содержание записки: 
All your data has been ciphered!
The only way of recovering your files is to buy a unique decryptor.
A decryptor is fully automatical, all your data will be recovered within a few hours after it’s installation.
For purchasing a decryptor contact us by email:
tabufa@protonmail.com
If you will get no answer within 24 hours contact us by our alternate emails:
tabufa@airmail.cc
We assure full recovery after the payment.
To verify the possibility of the recovery of your files we can decipher 1 file for free.
Attach 1 file to the letter (no more than 5Mb). Indicate your personal ID on the letter:
38 8A 79 68 5D D3 8E *** .
In reply we will send you an deciphered file and an instruction for purchasing an automatical decryptor for all your files. After the payment we will send you a decryptor and an instructions for protecting your computer from network vulnerabilities..
Attention!
    Only tabufa@protonmail.com, tabufa@airmail.cc can decipher all your files.
    Launching of antivirus programs will not help.
    Changing ciphered files will result in a loose of data.
    Attempts of deciphering by yourself will result in a loose of data.
    Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.


Обновление от 17 апреля 2019:
Расширение: .systems32x
Записка: HOW TO BACK YOUR FILES.TXT
Email: systems32x@gmail.com
systems32x@yahoo.com
systems32x@tutanota.com
help32xme@usa.com 
additional.mail@mail.com


Обновление от 27 апреля 2019:
Этот вариант подробно описан в статье Alco Ransomware >>>
Расширение: .Pig4444
Этимология названия расширения: pig - по-английски: свинья, поросенок. 
Записка: HOW TO BACK YOUR FILES.txt
Результаты анализов: VT + VMR


Обновление от 3-5 мая 2019:
Этот вариант подробно описан в статье Alco Ransomware >>>
Расширение: .Tiger4444
Этимология названия расширения: tiger - по-английски: тигр. 
Записка: HOW TO BACK YOUR FILES.txt
Результаты анализов: VT + VMR

Обновление от 18 мая 2019:
Пост в Твиттере >>
Расширение: .[epta.mcold@gmail.com]
Записка: !INSTRUCTI0NS!.TXT
Email: epta.mcold@gmail.com, epta.mcold@yahoo.com, epta.mcold@aol.com
➤ Содержание записки:
** All your files have been encrypted **
*** PLEASE READ THIS ***
**** IF YOU WANT TO GET ALL YOUR FILES BACK ****
 _________________________________________________________________________
|                                   ATTENTION
| * Do not rename encrypted files.
| * Do not try to decrypt your data using third party software, this can
|   result in complete data loss.
|________________________________________________________________________

Send us email with your personal encryption KEY.
This email will be as confirmation your are ready to pay for decryption key.
After payment, we send you the decryption tool, that decrypt all your files.
Before paying you can send 2 file for free decryption. The total size of file
must be less than 1Mb (non archived), and files should not contain valuable
information (backups, databases, large excel-word sheets, etc.)
CONTACT US:
epta.mcold@gmail.com
epta.mcold@yahoo.com
ADDITIONAL CONTACTS:
epta.mcold@aol.com
------------------------------------- KEY -------------------------------------
EFLNUW6RCNGXJOBXRNJ4JETCGDCJ6ZN76WWLKAG5YHLT27A***
-------------------------------------------------------------------------------


Обновление от 17 июня 2019:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .middleman2020
Записка: !INSTRUCTI0NS!.TXT
Email: middleman2020@protonmail.com, middleman2020@tutanota.com

Обновление от 18 июня 2019:
Пост в Твиттере >>
Этот вариант подробно описан в статье Alco Ransomware >>>
Расширение: .pig4444
Этимология названия расширения: pig - по-английски: свинья, поросенок. 
Записка: HOW TO BACK YOUR FILES.TXT

Обновление от 21 июня 2019:
Этот вариант подробно описан в статье Alco Ransomware >>>
Расширение: .Horse4444
Этимология названия расширения: horse - по-английски: лошадь, конь. 
Записка: HOW_TO_BACK_FILES.txt


Обновление от 1 июля 2019:
Пост в Твиттере >>
Это не относится напрямую к Maoloa Ransomware!
Email: Decryptcn@protonmail.ch
URL: xxxx://47.92.55.239/s/
Записки: HOW_TO_BACK_YOUR_FILES.txt на китайском и английском языках
HOW_TO_BACK_YOUR_FILES.txt - на английском языке
Текст записки взят из Maoloa или Alco, которые сам имитируют записку GlobeImposter, но имеют свои особенности. 
 
Идентификация в IDR: сначала "Fake GlobeImposter", потом "ChineseRarypt" по моему названию в статье ChineseRarypt Ransomware
Помещает файлы в Rar-архив вместо шифрования. Пароль может находиться в той же директории, в Rar-файле. Статья от Tencent по этому фальшивому GlobeImposter >>



Обновление от 10 июля 2019:
Топик на форуме >>
Расширение: .shelbyboom
Email: shelbyboom@protonmail.com, shelbyboom@cock.li
Записка: how_to_back_files.html



Обновление от 17 июля 2019:
Топик на форуме >>
Расширение: .diller13
Записка: how_to_back_files.html
Email: diller13@protonmail.com, diller13@cock.li
➤ Содержание записки: 
All your data has been ciphered!
The only way of recovering your files is to buy a unique decryptor. 
A decryptor is fully automatical, all your data will be recovered within a few hours after it’s installation.
For purchasing a decryptor contact us by email:
diller13@protonmail.com
If you will get no answer within 24 hours contact us by our alternate emails:
diller13@cock.li
We assure full recovery after the payment. 
To verify the possibility of the recovery of your files we can decipher 1 file for free. 
Attach 1 file to the letter (no more than 25Mb). Indicate your personal ID on the letter:
20 44 81 30 49 01 D0 83 *** (768 заков с пробелами).
In reply we will send you an deciphered file and an instruction for purchasing an automatical decryptor for all your files. After the payment we will send you a decryptor and an instructions for protecting your computer from network vulnerabilities..
Attention!
Only diller13@protonmail.com, diller13@cock.li can decipher all your files.
Launching of antivirus programs will not help.
Changing ciphered files will result in a loose of data.
Attempts of deciphering by yourself will result in a loose of data.
Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data.



Обновление от 22 июля 2019:
Этот вариант подробно описан в статье Alco Ransomware >>>
Расширение: .Rabbit4444
Записка: не найдена. 

Обновление от 25 августа 2019:
Новая идентификация: статья Maola Ransomware >>
Расширение: .decrypt019
Записка: how_to_back_files.html
Email: decrypt019@protonmail.com, decrypt2019@outlook.com

--- пропущенные варианты --- 


=== 2020 ===

Обновление от 22 января 2020:
Расширение: .system32x
Email: systems32@gmail.com, systems32x@yahoo.com
Специальный файл ids.txt содержит ID, написанный 9 раз. 
Записка в EXE-формате: !!INSTRUCTIONS!!.exe
EXE-файлы: msopsm.exe, system32x.exe
Результаты анализов: VT + VT + VT


=== 2021 ===

Вариант от 20 января 2021: 
Расширение: .Encrypted
Email: opticodbestbad@aol.com, opticodbestbad@mail.ee
Записка: info.html 
Результаты анализов: VT + TG



Вариант от 10 апреля 2021: 
Расширение: .charlie.j0hnson
Записка: HOW TO RETURN YOU FILES.exe
Результаты анализов: VT + IA + TG


 



Adding new variants has stopped.
Новые варианты не добавляются.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Maoloa)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author), Thyrex
 Petrovic
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 2 февраля 2019 г.

PayDay

PayDay Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: указано в записке. На файле написано: cexplorer.exe или что-то другое. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .<random_A-Z{6}>


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января 2019 г.  Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_DECRYPT_MY_FILES.txt

Содержание записки о выкупе:
============== !!!PAYDAY RANSOMWARE!!!  ==============
Attention! All your files are encrypted with extension ***.
to decrypt your files - you must buy decryptor. Decryptor price - 200 USD.
If the decryptor is not bought within 3 day's - files will be pernamently destroyed.
You can contact us by e-mail, our e-mail address : admin@dontfuckme.top.
Payment is accepted only in bitcoin ( https://en.bitcoin.it/wiki/Main_Page ). Our support will give you the address of our Bitcoin wallet for payment during a personal dialogue.
Contacting us - specify the extension of the encrypted files, and your unique identifier, which is listed below.
Only we can decrypt your files, do not use third-party software, it will break the files.
If you have any problems / questions - our support will help you.
Good luck. May god help you!
Your unique identifier : {**************}___suffinc

Перевод записки на русский язык:
Внимание! Все ваши файлы зашифрованы с расширением ***.
чтобы расшифровать ваши файлы - вы должны купить расшифровщик. Цена декриптора - 200 долларов.
Если декриптор не будет куплен в течение 3 дней - файлы будут уничтожены.
Вы можете связаться с нами по email, наш email-адрес: admin@dontfuckme.top.
Оплата принимается только в биткоинах (https://en.bitcoin.it/wiki/Main_Page). Наша служба поддержки предоставит вам адрес нашего биткоин-кошелька для оплаты во время личного общения.
Обращаясь к нам - укажите расширение зашифрованных файлов и ваш уникальный идентификатор, который указан ниже.
Только мы можем расшифровать ваши файлы, не используйте сторонние программы, они сломают файлы.
Если у вас есть какие-то проблемы / вопросы - наша поддержка поможет вам.
Удачи. Да поможет тебе Бог!
Ваш уникальный идентификатор:



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_MY_FILES.txt
cexplorer.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: admin@dontfuckme.top
BTC: ***
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
URL зараженных сайтов:
xxxx://gabrielreed.pw
xxxx://5.255.94.90/index.php
xxxxs://rgdsghhdfa.pw/x/s.php

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, James
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 30 января 2019 г.

Xorist-Mcafee

Xorist-Mcafee Ransomware

(шифровальщик-НЕ-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью TEA, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: werfault.exe и Mcafee.exe.

© Генеалогия: Xorist >> Xorist-Mcafee

К зашифрованным файлам добавляется расширение: .Mcafee


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января 2019 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру.

Записка без требования выкупа называется: HOW TO DECRYPT FILES

Содержание записки о выкупе:
Usted fue encriptado por Mcafee que ironia no?

Перевод записки на русский язык:
Вы были зашифрованы Mcafee, чем ни ирония?



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp, .7z, .ac3, .ape, .avi, .bmp, .cdr, .cer, .dbf, .divx, .djvu, .doc, .docx, .dwg, .flac, .flv, .gif, .gzip, .htm, .html, .ifo, .jpeg, .jpg, .kwm, .lnk, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png, .ppt, .pptx, .psd, .pwm, .rar, .tar, .torrent, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsx, .zip (57 расширений).  
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES
werfault.exe, Mcafee.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%WINDIR%\SysWOW64\werfault.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: нет.
BTC: нет.
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, S!Ri
 Andrew Ivanov (author), Thyrex
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 29 января 2019 г.

Desync

Desync Ransomware

Unnamed Desync Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные локальной сети предприятий с помощью AES (режим ECB), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Desync.exe, final.exe.

Обнаружения: 
DrWeb -> Trojan.Encoder.30165
BitDefender -> Trojan.GenericKD.32729192
McAfee -> Ransom-Desync!871C3954914B
Symantec -> Trojan Horse

© Генеалогия: Indrik ? > Desync



К зашифрованным файлам добавляется расширение: .DESYNC


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: # HOW TO DECRYPT YOUR FILES #.txt

Содержание записки о выкупе:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
*** PLEASE READ THIS FILE IF YOU WANT TO GET BACK YOUR FILES ***
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
All your files are encrypted on your network using a powerful and highly sophisticated encryption algorithm.
No way to recover your files without buy special decryption service that we have made for you!
If you are looking for internet. You will see nothing except scam websites want you to install their software and waste your money for them.
Any change in encrypted files completely breaks your file for every.
Will free guarantee our decryption service, we have to offer you 'ONE FREE FILE DECRYPTION'
You can send us one of any of your encrypted files in the first contact with us.
But, if you want to recover all your files need to make payment.
Now go to your email and send your 'PERSONAL IDENTIFIER' to following e-mail address:
desync@airmail.cc
Don't forget to send e-mail us only with your work e-mail address, else we never reply you.
-----BEGIN PERSONAL IDENTIFIER-----
[redacted 0x100 bytes in base64]
-----END PERSONAL IDENTIFIER-----

Перевод записки на русский язык:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
*** ПОЖАЛУЙСТА, ПРОЧИТАЙТЕ ЭТОТ ФАЙЛ, ЕСЛИ ВЫ ХОТИТЕ ВЕРНУТЬ СВОИ ФАЙЛЫ ***
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Все ваши файлы зашифрованы в вашей сети с использованием мощного и очень сложного алгоритма шифрования.
Невозможно восстановить ваши файлы без покупки специальной услуги дешифрования, которую мы сделаем для вас!
Если вы посмотрите интернет. Вы не увидите ничего, кроме мошеннических сайтов, которые хотят, чтобы вы установили их программу и тратили на них деньги.
Любое изменение в зашифрованных файлах полностью разрушает ваш файл для каждого.
Мы бесплатно гарантируем нашу услугу дешифрования, мы должны предложить вам 'РАСШИФРОВАТЬ ОДИН ФАЙЛ БЕСПЛАТНО'
Вы можете отправить нам один из ваших зашифрованных файлов при первом контакте с нами.
Но, если вы хотите восстановить все ваши файлы, надо произвести оплату.
Теперь перейдите на свой email и отправьте свой 'ЛИЧНЫЙ ИДЕНТИФИКАТОР' на следующий email-адрес:
desync@airmail.cc
Не забудьте отправить нам email только с вашим рабочим email-адресом, иначе мы никогда не ответим вам.
----- НАЧАЛО ЛИЧНОГО ИДЕНТИФИКАТОРА -----
[здесь 0x100 байтов в base64]
----- КОНЕЦ ЛИЧНОГО ИДЕНТИФИКАТОРА -----



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# HOW TO DECRYPT YOUR FILES #.txt
Desync.exe
final.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс: 

Global\Indrik

Сетевые подключения и связи:
Email: desync@airmail.cc
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 11-18 ноября 2019:
Топик на форуме >>
Расширение: .DESYNC
Записка: # HOW TO DECRYPT YOUR FILES #.txt
Email: yeahdesync@airmail.cc
Файл: Desync.exe
Результаты анализов: VT + VMR
BitDefender -> Trojan.GenericKD.32729192
McAfee -> Ransom-Desync!871C3954914B
Symantec -> Trojan Horse
➤ Содержание записки: 
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
*** PLEASE READ THIS FILE IF YOU WANT TO GET BACK YOUR FILES ***
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
All your files are encrypted on your network using a powerful and highly sophisticated encryption algorithm.
No way to recover your files without buy special decryption service that we have made for you!
If you are looking for internet. You will see nothing except scam websites want you to install their software and waste your money for them.
Any change in encrypted files completely breaks your file for every.
Will free guarantee our decryption service, we have to offer you 'ONE FREE FILE DECRYPTION'
You can send us one of any of your encrypted files in the first contact with us.
But, if you want to recover all your files need to make payment.
Full decryption cost is $500 in Bitcoin.
Now go to your email and send your 'PERSONAL IDENTIFIER' to following e-mail address:
yeahdesync@airmail.cc
-----BEGIN PERSONAL IDENTIFIER-----
**********
-----END PERSONAL IDENTIFIER-----





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Desync)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 28 января 2019 г.

MewWare, Unit09

Unit09 Ransomware

MewWare Ransomware

(фейк-шифровальщик, стиратель, деструктор)
Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $10 в BTC, чтобы вернуть файлы. Оригинальное название: MewWare. На файле написано: MewWare.exe. На самом деле файлы перезаписываются случайными байтами и не подлежат восстановлению. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .UNIT09


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января 2019 г. Штамп времени: 25 января 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: $!READ ME.txt

Содержание записки о выкупе:
Dear <user_name>, Thanks for being a part of UNIT-109
But sadly its time to go. Send $10 in BTC to 1P9NNpNtbhsKaxr2oGkSaqUQb1kB4trS5U
Your files will be unrecoverable after 72 hours. Be quick ;)
-[redacted 0x4D bytes, ending in "(keep going)"]

Перевод записки на русский язык:
Уважаемый <user_name>, спасибо, что вы стали частью UNIT-109
Но, к сожалению, пора идти. Отправьте $10 в BTC на 1P9NNpNtbhsKaxr2oGkSaqUQb1kB4trS5U
Ваши файлы не вернуть после 72 часов. Быстрее ;)
- [изменено 0x4D байт, на конце "(keep going)"]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.access, .bfc, .cab, .certs, .cfg, .cgm, .chm, .cnt, .cnv, .config, .cpl, .dat, .data, .dll, .dpc, .eftx, .elm, .eps, .exe, .flt, .fnt, .gif, .hlp, .htm, .html, .inf, .its, .ja, .jar, .jfc, .jpg, .lex, .libraries, .manifest, .mid, .mml, .mmw, .mof, .msg, .msi, .mst, .pf, .png, .policy, .properties, .rll, .security, .src, .template, .thmx, .tlb, .ttf, .txt, .wav, .wmf, .wpg, .xml, .xrm-ms, .xsl, и другие.  
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.


На самом деле файлы перезаписываются случайными байтами и не подлежат восстановлению. Уплата выкупа бесполезна! 

Файлы, связанные с этим Ransomware:
$!READ ME.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC: 1P9NNpNtbhsKaxr2oGkSaqUQb1kB4trS5U
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Unit09)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Jakub Kroustek
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *