Если вы не видите здесь изображений, то используйте VPN.

четверг, 21 февраля 2019 г.

BestChangeRu

BestChangeRu Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 25000 рублей в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.



© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину февраля 2019 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: инструкция по оплате.txt

Содержание записки о выкупе:
Переходите по ссылке на сайт мониторинга обмена криптовалют.
https://www.bestchange.ru/sberbank-to-bitcoin.html
В левой колонке "отдадите" указываете удобный для Вас способ передачи денег. (сбербанк ,альфа ,киви, яндекс и т.д.)
В правой колонке "получите" выбираете Bitcoin.
Мониторинг предложит варианты обменников и их резервы.
Выберете один и самых верхних и перейдите к ним на сайт.
Создайте заявку и укажите наш адрес кошелька Bitcoin  "1AxE1iGGGRt2YxW1h5Xzw6ConoW89P54cx" - без кавычек.
Для каждого человека выдается свой уникальный адрес и только Вы можете послать на него деньги.
Обмен происходит безопасно и быстро. (5-15 минут).
После оплаты,  обменный пункт  выдаст вам номер заявки со статусом.
В доказательство обмена средств с Вашей стороны скопируйте ссылку с заявкой и пришлите нам.
Для оплаты отводится 48 часа. По истечению срока сумма дешифратора увеличивается на 50%.
После оплаты мы вышлем вам дешифратор и будем сопровождать Вас по почте до полной расшифровки всех файлов.
Приобрести биткоины Вы также можете на сайте https://localbitcoins.com/ru/
Не советуем обменивать или покупать криптовалюту из контекстной рекламы  Яндекс Директ или Google Adwords!!!
===============================================================================================================
Сумма дешифратора 25000 рублей. После оплаты высылаем дешифратор. Запускаете его, и в вашем случаи ждать расшифровки около 10-20 минут. Полностью сопроводим вас по почте до восстановления. Убедительная просьба, если хотите
проводить эксперименты с файлами сами или "мастерами" , то сохраните все отдельно и пусть проводят эксперименты отдельно, чтобы не испортить ничего. На данный момент кроме нас вам никто не поможет.
Поучительная статья на будущее!
https://habr.com/ru/company/veeam/blog/188544/

Перевод записки на русский язык:
уже сделан

Скриншот с сайта, в котором зарегистрированы вымогатели:

Об обладателе кошелька 1AxE1iGGGRt2YxW1h5Xzw6ConoW89P54cx:
С историей транзакций


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
инструкция по оплате.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: 1AxE1iGGGRt2YxW1h5Xzw6ConoW89P54cx
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 19 февраля 2019 г.

Cr1ptT0r

Cr1ptT0r Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные на сетевых (облачных, NAS, Network Attached Storage) хранилищах с помощью особого алгоритма шифрования, а затем требует выкуп в ~0.3 BTC, чтобы вернуть файлы. Оригинальное название: указано в записке и на странице на сайте OpenBazaar. Разработчики: Cr1ptT0r team. Используется двоичный файл ELF ARM для систем Linux с упором на встраиваемые устройства, но в зависимости от производителя может быть адаптирован и для Windows. 

Атаке подвержены ЛЮБЫЕ компьютеры, Linux-устройства и Android-устройства, подключаемые к компьютерам и сетевым устройствам, используемые для выхода в Интернет. 

© Генеалогия: StorageCrypter > Cr1ptT0r > MegaLocker

К зашифрованным файлам никакое расширение не добавляется. 
Вместо этого используется маркер файлов: _Cr1ptT0r_


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.



Записка с требованием выкупа называется: 
_FILES_ENCRYPTED_README.txt

Ей сопутствует текстовый файл с адресом onion-сайта в сети Tor. 
_cr1ptt0r_support.txt

Содержание записки о выкупе:
All your files have been encrypted using strong encryption!
For more information visit our website: https://openbazaar.com/store/home/QmcVHJWngBD67hhqXipFvhHcgv1RYLBGcpthew7d9pC3rq
If the website is unavailable you need to download the OpenBazaar application from: https://openbazaar.org/download/
You can then visit the store via this url: ob://QmcVHJWngBD67hhqXipFvhHcgv1RYLBGcpthew7d9pC3rq/store
We are also reachable via these instant messaging sotwares:
toxchat: https://tox.chat/download.html
User ID: AE737ECB916BE24B41543BAD5B***
bitmessage: https://bitmessage.org/wiki/Main_Page
User ID: BM-NBcQxmkfyoVxSRE8WJQqEbXw1s63CMEq
Kind regards from the Cr1ptT0r team.

Перевод записки на русский язык:
Все ваши файлы зашифрованы надежным шифрованием!
Для подробной информации посетите наш веб-сайт:
https://openbazaar.com/store/home/QmcVHJWngBD67hhqXipFvhHcgv1RYLBGcpthew7d9pC3rq
Если веб-сайт недоступен, вы должны загрузить программу OpenBazaar из: https://openbazaar.org/download/
Затем можете посетить магазин по этому адресу:
ob://QmcVHJWngBD67hhqXipFvhHcgv1RYLBGcpthew7d9pC3rq/store
Мы также доступны через это программу обмена сообщениями: ToxChat: https://tox.chat/download.html
User ID: AE737ECB916BE24B41543BAD5B***
bitmessage: https://bitmessage.org/wiki/Main_Page
User ID: BM-NBcQxmkfyoVxSRE8WJQqEbXw1s63CMEq
Наилучшие пожелания от Cr1ptT0r team.

Анализ записок, представленных разными пользователями, показал, что они идентичны. Текст, URL-адреса, BM, ID одинаковые.


Текстовые файлы _cr1ptt0r_support.txt имеют разные адреса в сети Tor.
Впрочем, оба у меня с помощью браузера Tor не открылись. 

Скриншоты со страницы вымогателей на сайте OpenBazaar.
Эти скриншоты я сделал 20 февраля.


Эти скриншоты я сделал 21 февраля. В первом есть дополнения в тексте. 

Сравнение текста от 20 и 21 февраля. 
 - 20 февраля
  -21 февраля - тексты со строками

Содержание обоих текстов:
About (20 февраля)
If you are here then probably that all your files have been encrypted!
The decryption keys are available for sale. Individual file decryption is also available. First file is decrypted for FREE to prove that decryption is possible. 
The private key used to encrypt the files is generated on our secure server. Without this key it is imposible to decrypt any file. The public key (user id) is stored in each file to make it possible to match the device with the right keypair.
The list of encrypted files is saved on the device in a text file named "_cr1ptt0r_logs.txt".
Fell free to contact us via OpenBazaar chat or one of these methods:
bitmessage: BM-NBcQxmkfyoVxSRE8WJQqEbXw1s63CMEq
tox: AE737ECB916BE24B41543BAD5B24710C5B9DB701592013A6EBBCC0A544931E6145C7D950B82F
Kind regards from the Cr1ptT0r team.
---
About (21 февраля)
If you are here then probably that all your files have been encrypted!
The decryption keys are available for sale. Individual file decryption is also available. First file is decrypted for FREE to prove that decryption is possible. 
The private key used to encrypt the files is generated on our secure server. Without this key it is imposible to decrypt any file. 
The public key (user id) is stored in each file to make it possible to match the device with the right keypair. The only thing needed to recover all files is any encrypted file sent to us via tox messenger.
The list of encrypted files is saved on the device in a text file named "_cr1ptt0r_logs.txt".
Fell free to contact us via OpenBazaar chat or one of these methods:
tox: AE737ECB916BE24B41543BAD5B24710C5B9DB701592013A6EBBCC0A544931E6145C7D950B82F
bitmessage: BM-NBcQxmkfyoVxSRE8WJQqEbXw1s63CMEq
If there is any issue with OpenBazaar website or desktop app then payment is completed over tox messenger.
Customer support is fast and we guarantee full data recovery once payment is done. 
Kind regards from the Cr1ptT0r team.

Перевод обоих текстов на русский:
Об этом (20 февраля)
Если вы здесь, то, вероятно, все ваши файлы зашифрованы!
Ключи расшифровки доступны для продажи. Индивидуальная расшифровка файлов также доступна. Первый файл расшифровывается БЕСПЛАТНО, чтобы доказать, что расшифровка возможна.
Закрытый ключ, используемый для шифрования файлов, создается на нашем защищенном сервере. Без этого ключа невозможно расшифровать любой файл. Открытый ключ (идентификатор пользователя) хранится в каждом файле, чтобы можно было сопоставить устройство с правильной парой ключей.
Список зашифрованных файлов сохраняется на устройстве в текстовом файле с именем "_cr1ptt0r_logs.txt".
Свяжитесь с нами через чат OpenBazaar или одним из следующих способов:
bitmessage: BM-NBcQxmkfyoVxSRE8WJQqEbXw1s63CMEq
tox: AE737ECB916BE24B41543BAD5B24710C5B9DB701592013A6EBBCC0A544931E6145C7D950B82F
Наилучшие пожелания от Cr1ptT0r team.
---
Об этом (21 февраля)
Если вы здесь, то, вероятно, все ваши файлы зашифрованы!
Ключи расшифровки доступны для продажи. Индивидуальная расшифровка файлов также доступна. Первый файл расшифровывается БЕСПЛАТНО, чтобы доказать, что расшифровка возможна.
Закрытый ключ, используемый для шифрования файлов, создается на нашем защищенном сервере. Без этого ключа невозможно расшифровать любой файл.
Открытый ключ (идентификатор пользователя) хранится в каждом файле, чтобы можно было сопоставить устройство с правильной парой ключей. Единственное, что нужно для восстановления всех файлов - это любой зашифрованный файл, отправленный нам через мессенджер.
Список зашифрованных файлов сохраняется на устройстве в текстовом файле с именем "_cr1ptt0r_logs.txt".
Свяжитесь с нами через чат OpenBazaar или одним из следующих способов:
tox: AE737ECB916BE24B41543BAD5B24710C5B9DB701592013A6EBBCC0A544931E6145C7D950B82F
bitmessage: BM-NBcQxmkfyoVxSRE8WJQqEbXw1s63CMEq
Если есть какие-то проблемы с веб-сайтом OpenBazaar или настольным приложением, то оплата завершается через мессенджер.
Поддержка клиентов быстрая, и мы гарантируем полное восстановление данных после оплаты.
Наилучшие пожелания от Cr1ptT0r team.



Технические детали


Вролне вероятно, что как и StorageCrypter Ransomware нацелен на устройства сетевого хранения (NAS), некоторые из которых поставляются с сервером Samba для обеспечения совместимости при совместном использования файлов между различными операционными системами. Использует уязвимость SambaCry. 


SambaCry - это уязвимость Linux Samba, позволяющая злоумышленнику открыть командную оболочку, которую можно использовать для загрузки файлов и выполнения команд на уязвимом устройстве. Текущий метод заражения устройств NAS с помощью StorageCrypter, по-видимому, аналогичен варианту Elf_Shellbind, который  ранее использовался для распространения майнеров.

Как защититься? 
Разработчики Samba регулярно устраняют уязвимости. Нужно срочно установить все выпущенные патчи, если ранее это не было сделано. 
Официальная страница с патчами и описаниями каждой уязвимости. 

Вполне возможно, что может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует сайт OpenBazaar для "поддержки" пострадавших и продажи дешифровщика. 

 Пострадавшие использовали D-Link NAS DNS-320 (ссылка на сайт производителя). Если модель устройства одинаковая или близкая к ней, то все модели в настройках по умолчанию содержат уязвимость, которую использовали нападавшие. Файловая система ext3.
На момент написания статьи не было сведений о том, какая конкретно уязвимость была использована, так в устройствах D-Link их известно несколько (например, эта). Но необходимо напомнить, что старые модели с устаревшей прошивкой более уязвимы, чем те, которые получили обновление. 

Список обновлений для версий DNS-320 и DNS-320L:
https://support.dlink.com/ProductInfo.aspx?m=DNS-320
https://support.dlink.com/ProductInfo.aspx?m=DNS-320L

О шифровании:
Для шифрования используется криптобиблиотека Sodium и алгоритм асимметричного шифрования "curve25519xsalsa20poly1305" (Curve25519, Salsa20, Poly1305). Подробнее об curve25519xsalsa20poly1305 в статье по ссылке
Открытый 256-битный ключ шифрования находится в файле cr1ptt0r_logs.txt, в котором также хранится список зашифрованных файлов, и он же добавляется в конец зашифрованных файлов, прямо перед маркером. 
К зашифрованным файлам добавляется маркер файлов: _Cr1ptT0r_


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_FILES_ENCRYPTED_README.txt
_cr1ptt0r_support.txt
_cr1ptt0r_logs.txt
_cr1ptt0r_privkey.txt
_cr1ptt0r_support.txt
cr1ptt0r
<random>.exe - случайное название

Расположения:
\\IP-адрес NAS\имя папки
Volume_1\ ...
Public\
Downloads\
Web\
media\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL-1: wffv2rkacrq6uuos.onion
Tor-URL-2: ggf6lip475gcshd3.onion
OB: https://openbazaar.com/store/home/QmcVHJWngBD67hhqXipFvhHcgv1RYLBGcpthew7d9pC3rq
https://openbazaar.com/store/QmcVHJWngBD67hhqXipFvhHcgv1RYLBGcpthew7d9pC3rq/all-files-decryption
Bitmessage: BM-NBcQxmkfyoVxSRE8WJQqEbXw1s63CMEq
Tox: AE737ECB916BE24B41543BAD5B24710C5B9DB701592013A6EBBCC0A544931E6145C7D950B82F
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

➤ Cr1ptT0r Ransomware представляет собой двоичный файл ELF ARM.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 6 марта 2019:
Альфа-версия дешифровщика от RE-Solver
Пост в Твиттере >>
Описание в его блоге >>

Новость от 6 марта 2019: 
RE-Solver работает над дешифровщиком:


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as Cr1ptT0r Ransomware)
 Topic of Support
 * 
Added later:
Write-up on BleepingComputer (February 22, 2019)
D-Link DNS-320 NAS Cr1ptT0r Ransomware ARM Dynamic Analysis 
*
 Thanks: 
 Andrew Ivanov (author) 
 quietman7, Michael Gillespie, RE-Solver
 Ionut Ilascu (BleepingComputer)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 16 февраля 2019 г.

Shadi

Shadi Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .shadi


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первая загрузка в сервис ID Ransomware была из Вьетнама. На момент публикации статьи других загрузок ещё не было. 

Записка с требованием выкупа называется: Readme.txt

Содержание записки о выкупе:
What Happened to My Computer?
All your files have been encrypted!
Many of your documents, photos, videos, databases, and other files are no longer available because they have been encrypted.
Maybe you are busy looking for a way to recover your files, but do not waste your time, nobody can recover your files without our decryption service
+++++++++++++++++++
Can I Recover My Files?
Sure We guarantee that you can safely recover all your files
and easily,But first buy the recovery key
+++++++++++++++++++
How Do I Pay?
Payment is accepted in Bitcoin only
you can buy from bitcoin sales sites or directly through other people. You can buy Bitcoin from sites and real people using various methods such as credit cards, online accounts, or even with other digital currency.
For example, go to the following site
https://localbitcoins.com *** and read help menu pages
you can buy bitcoin :
https://localbitcoins.com/buy_bitcoins
in the end you must send 300 usd to my bitcoin wallet .
My wallet address : 1Nut4NS1AMeixd4shAp8HGqxNExHeRHEnA
+++++++++++++++++++
So what should I do after paying?
After paying the money to our account
send us an image of the payment page to prove your payment to us + your computer IP address that is located inside the drive C and the IP.txt file
and wait for recive the recovery key
Send screenshot and ip address to telegram id => @Level_01
+++++++++++++++++++
Contact
If you need to contact me, Can you send a message to telegram
Telegram-ID => @Level_01

Перевод записки на русский язык:
Что случилось с моим компьютером?
Все ваши файлы были зашифрованы!
Многие ваши документы, фото, видео, базы данных и другие файлы теперь не доступны, поскольку они были зашифрованы.
Может быть, вы ищете способ восстановить ваши файлы, но не теряйте времени, никто не сможет восстановить ваши файлы без нашей службы дешифрования
+++++++++++++++++++
Могу ли я восстановить мои файлы?
Конечно, мы гарантируем, что вы можете безопасно восстановить все ваши файлы и легко, но сначала купите ключ восстановления
+++++++++++++++++++
Как мне оплатить?
Оплата принимается только в биткоинах
Вы можете купить их на сайтах продаж биткоинов или напрямую через других людей. Вы можете купить биткоин с сайтов и реальных людей, используя различные методы, такие как кредитные карты, онлайн-счета или даже с другой цифровой валютой.
Например, перейти на следующий сайт
https://localbitcoins.com *** и прочитать страницы меню помощи
Вы можете купить биткоин:
https://localbitcoins.com/buy_bitcoins
в конце вы должны отправить 300 долларов на мой биткоин-кошелек.
Адрес моего кошелька: 1Nut4NS1AMeixd4shAp8HGqxNExHeRHEnA
+++++++++++++++++++
Так что мне делать после оплаты?
После оплаты денег на наш счет
отправьте нам изображение страницы оплаты, чтобы доказать нам свой платеж + IP-адрес вашего компьютера, который находится внутри диска C, и файл IP.txt
и ждать получения ключа восстановления
Отправить скриншот и IP-адрес в telegram id => @ Level_01
+++++++++++++++++++
контакт
Если вам нужно связаться со мной, вы можете отправить сообщение в telegram
Telegram-ID => @ Level_01



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файловый маркер: 


Файлы, связанные с этим Ransomware:
Readme.txt
IP.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Contact: Telegram-ID => @Level_01
BTC: 1Nut4NS1AMeixd4shAp8HGqxNExHeRHEnA
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: единичные случаи.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 13 февраля 2019 г.

EncryptedBatch

EncryptedBatch Ransomware

(фейк-шифровальщик)
Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в код разблокировки, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Setup.exe.
---
Обнаружения: 
DrWeb -> Trojan.FakeEncoder.1
Avira (no cloud) -> PUA/CoinMiner.cxa
BitDefender -> Trojan.GenericKD.31290561
ESET-NOD32 -> BAT/Hoax.FakeFileCoder.S
Kaspersky -> UDS:DangerousObject.Multi.Generic
Microsoft -> Ransom:Win32/Genasom
Rising -> Ransom.Genasom!8.293 (CLOUD)
Symantec -> Downloader
Tencent -> Win32.Trojan.Raas.Auto
---

© Генеалогия: данные сервиса Intezer Analyze >> EncryptedBatch

К незашифрованным файлам добавляются расширения из группы:
.Encrypted0
.Encrypted1
.Encrypted2
.Encrypted3
.Encrypted4
.Encrypted5
...
.Encrypted18
Здесь каждому типу расширения (jpg, png, doc и т.д.) соответствует своё расширение .Encrypted{0-18} с номером. Им заменяется оригинальное расширение файла. 


Этимология названия:
Название EncryptedBatch ("группа зашифрованных") было дано Майклом Джиллеспи для идентификации образцов в сервисе ID Ransomware. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Этому недошифратору можно было бы не уделять время, но он был добавлен в ID Ransomware, потому и была написана эта статья.  

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Your Files Have Been Encrypted.
Press any key to continue . . .
-----
To Get Your Files Back You Have To Enter
The Decryption Key.
Enter password to Unlock Your Files
>

Перевод записки на русский язык:
Ваши файлы были зашифрованы.
Нажмите любую клавишу для продолжения . . .
-----
Чтобы получить ваши файлы обратно, вы должны войти
Ключ расшифровки.
Введите пароль, чтобы разблокировать ваши файлы
>



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Код разблокировки:

idLAa7fkKdx1aKBGBl3dWeY

Список файловых расширений, подвергающихся шифрованию:
.bmp, .doc, .docx, .html, .jpg, .lnk, .png, .rtf, .txt, .zip
Это документы MS Office, текстовые файлы, фотографии, архивы и пр.

Файлы, связанные с этим Ransomware:
Setup.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: единичный случаи.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as EncryptedBatch)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov (article author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *