Если вы не видите здесь изображений, то используйте VPN.

пятница, 1 марта 2019 г.

Alco

Alco Ransomware

Maoloa-Alco Ransomware

Aliases: China.Helper, X_Mister, 4444, 666, 865 

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью SHA+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: GlobeImposter.exe, но это фальшивое название. Некоторые варианты совпадают с Maoloa Ransomware
---
Обнаружения: 
DrWeb -> Trojan.Encoder.27191, Trojan.Encoder.28101, Trojan.Encoder.28773, Trojan.Encoder.29658, 
Trojan.Encoder.30146, Trojan.Encoder.30214
ESET-NOD32 -> Win32/Filecoder.Maoloa.A, Win32/Filecoder.Maoloa.E
Ikarus -> Trojan-Ransom.Maoloa
BitDefender -> Trojan.Ransom.Maoloa.A
Avira -> TR/Maoloa.*
Другие обнаружения, определенные как GlobeImposter, ошибочные и их можно не учитывать!
---
© Генеалогия: ✂️ GlobeImposter > предыдущие варианты > Maoloa, Alco

Почему это не GlobeImposter?
Майкл Джиллеспи подтвердил, что это не GlobeImposter. Идентификатор жертвы и маркеры файлов вообще другие. Анализ текста показывает совпадение знаков и текста в некоторых вариантах GlobeImposter 2.0 прошлого года и одной версии декабря 2017 года. Текст записки также похож на тот, что использовался в Eq Ransomware, но это лишь подтверждает выводы Майкла. Таким образом, это фальшивый GlobeImposter и обнаружения на VT ошибочные. 


Изображение — логотип статьи
Это звери из китайского гороскопа: Бык, Собака, Кабан, Тигр, Конь, Кролик, Дракон...

К зашифрованным файлам добавляется расширение: .Alco4444 или другое в других вариантах.
Слово Alco в расширении вовсе не связано с алкоголем. Alco (лат. Canis Alco) — собака мексиканских индейцев. 
Далее появились расширения в соответствии с животными из китайского  гороскопа: Бык, Свинья, Тигр, Дракон, Лошадь, Кролик, Обезьяна, Петух. Позже пошли варианты с именами из мифологии. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале марта 2019 г. Штамп времени: 27 января 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Также могут встречаться варианты на китайском языке или совместно с английским тестом. 

Записка с требованием выкупа называется: HOW TO BACK YOUR FILES.txt


Содержание записки о выкупе:
YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 
4.We can decrypt few files in quality the evidence that we have the decoder. 
DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US:
Ñhina.helper@aol.com
Ñhina.helper@india.com
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
S/oR50rtft/2yT81cpZXZEdzhmaktbMclM2wJuksSsP3DVNL4
Aw3Phn0HKSZbSrxgAGxGkjhNKECxdyXlyEhULK7owgZbpxpOd
XYsQ2hhgpjo5p/xh7jsrnmFzdwHcNSC+nrbxOejKY7e+Oiswg
***

Перевод записки на русский язык:
Ваши файлы зашифрованы !!!
Чтобы расшифровать, следуйте инструкциям:
Для восстановления данных вам нужен декриптор.
Чтобы получить декриптор, вы должны:
1.В письме указать свой персональный ID! Отправьте мне этот ID в своем первом письме!
2.Мы можем дать вам бесплатный тест для расшифровки нескольких файлов (НЕЦЕННЫХ) и назначить цену для расшифровки всех файлов!
3.После того, как мы вышлем вам инструкцию как оплатить декриптор, после оплаты вы получите декриптор!
4.Мы можем расшифровать несколько файлов в качестве доказательства того, что у нас есть декодер.
НЕ ПЫТАЙТЕСЬ ЧТО-ТО ДЕЛАТЬ СО СВОИМИ ФАЙЛАМИ САМОСТОЯТЕЛЬНО, ВЫ СЛОМАЕТЕ СВОИ ДАННЫЕ !!! ТОЛЬКО МЫ МОЖЕМ ПОМОЧЬ ВАМ! СВЯЗЬ С НАМИ:Ñhina.helper@aol.com
Ñhina.helper@india.com
ВНИМАНИЕ !!! ЭТО ВАШ ЛИЧНЫЙ ID, КОТОРЫЙ ВЫ ДОЛЖНЫ ОТПРАВИТЬ В ПЕРВОМ ПИСЬМЕ:
S/oR50rtft/2yT81cpZXZEdzhmaktbMclM2wJuksSsP3DVNL4
Aw3Phn0HKSZbSrxgAGxGkjhNKECxdyXlyEhULK7owgZbpxpOd
XYsQ2hhgpjo5p/xh7jsrnmFzdwHcNSC+nrbxOejKY7e+Oiswg
***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Может использовать бестелесный JS-файл для запуска вредоносного файла.
➤ Использует программу Process Hacker для успешной атаки и завершения некоторых процессов на компьютере.


 Запускает команды оболочки: 
"/c @echo off
sc config browser
sc config browser start=enabled
vssadmin delete shadows /all /quiet
sc stop vss
sc config vss start=disabled
sc stop MongoDB
sc config MongoDB start=disabled
sc stop SQLWriter
sc config SQLWriter start=disabled
sc stop MSSQLServerOLAPService
sc config MSSQLServerOLAPService start=disabled
sc stop MSSQLSERVER

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO BACK YOUR FILES.txt - текстовый файл
HOW TO BACK YOUR FILES.exe - позже стал использоваться такой файл для показа сообщения о выкупе
GlobeImposter.exe
ids.txt
killer.bat - командный файл
<random>.exe - случайное название исполяемого файла
<random>.vbs - случайное название файла скрипта
Jsotgyzofbr.vbs - пример файла скрипта для запуска вредоноса

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\Jsotgyzofbr.vbs
C:\Users\User\AppData\Local\Temp\killer.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: *hina.helper@aol.com, *hina.helper@india.com
Email: Ñhina.helper@aol.com, Ñhina.helper@india.com
Email: China.helper@aol.com, China.helper@india.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 6 ноября 2018 и даже раньше (в сентябре 2018):
Пост  в Твиттере >>
Новая идентификация: Maola Ransomware
Расширение: .Ox4444
Этимология названия расширения: ox - по-английски: вол, бык.
Записка: HOW_TO_BACK_FILES.txt
China.Helper@aol.com
China.Helper@india.com
Файл: svhost.exe


Результаты анализов: VT + VMRay

Вариант от 20 марта 2019:
Сообщение >>
Сообщение >>
Расширение: .Mr-X666
Здесь и далее встречаются расширения с цифрами 666, которые в китайском сленге означают "крутой". В данном варианте "Мистер X-крутой". 
Записка: HOW TO BACK YOUR FILES.txt
Email: x_mister@aol.com
x_mister@india.com
Результаты анализов: VT 



Другие обновления:
См. также варианты, где в расширении есть 4444, в отдельной статье Maoloa Ransomware
Это варианты с расширениями: .Ox4444, .Pig4444, .Tiger4444.Dragon4444, .Horse4444, Rabbit4444
Я поместил их краткие описания сюда, т.к. они схожи по некоторым признакам. 

Вариант от 10 апреля 2019: 
Новая идентификация: Maola Ransomware
Расширение: .Tiger4444
Этимология названия расширения: tiger - по-английски: тигр. 
Email: bivisfiles@protonmail.com
Файл EXE: Tiger4444.exe
Результаты анализов: см. ниже


Вариант от 27 апреля 2019:
Сообщение >>
Новая идентификация: Maola Ransomware
Расширение: .Pig4444
Этимология названия расширения: pig - по-английски: свинья, поросенок. 
Записка: HOW TO BACK YOUR FILES.txt
Email: China.Helper@aol.com
China.Helper@india.com
Результаты анализов: VT + VMR


Вариант от 3-5 мая 2019:
Новая идентификация: Maola Ransomware
Расширение: .Tiger4444
Записка: HOW TO BACK YOUR FILES.txt
Специальный текстовый файл: ids.txt
Email: China.helper@aol.com 
Файл EXE: Tiger4444.exe
Результаты анализов: VT + VMR

Вариант от 15 июня 2019:
Топик на форуме >>
Расширение: .Dragon4444
Записка: HOW TO BACK YOUR FILES.txt
Email: China.helper@aol.com 
➤ Содержание записки:
YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 
4.We can decrypt few files in quality the evidence that we have the decoder.
 DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US:
China.helper@aol.com 
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
QY 5P 3f /+ iC qr bq AU SA VT XU Q5 Xf SH 7F ac
tv SM WB qk gm bU +K /2 0X o4 Zy S9 JW Zx 5s NH
ZI Sj sZ sQ /B Cf J1 fd pU oi aZ j5 gb gf 3h oG
***

Вариант от 18 июня 2019:
Сообщение >>
Расширение: .pig4444
Записка: HOW TO BACK YOUR FILES.TXT
Email: China.helper@aol.com


Вариант от 21 июня 2019:
Топик на форуме >>
Расширение: .Horse4444
Email: China.Helper@aol.com, China.Helper@india.com
Записка: HOW_TO_BACK_FILES.txt


Вариант от 24 июня 2019:
Сообщение >>
Расширение: .TROLL
Записка: HOW TO BACK YOUR FILES.txt
Email: Zoye1596@msgden.net

➤ Содержание записки:

YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool!
4.We can decrypt few files in quality the evidence that we have the decoder.
 DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US:
Zoye1596@msgden.net
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
V9 qD yr Jy KR Ye Db 8b bL k6 tW UU w9 hY v0 Qy
{{ID}}

Вариант от 8 июля 2019:
Топик на форуме >>
Расширение: .Ares666
Здесь и далее встречаются расширения с цифрами 666, которые в китайском сленге означают "крутой". 
Записка: HOW TO BACK YOUR FILES.txt
Email: Sin_Eater.666@aol.com
В каждой папке присутствует специальный файл .DF7ADA61E0284DDD4F1E


➤ Содержание записки:

YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 
4.We can decrypt few files in quality the evidence that we have the decoder.
 DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US:
Sin_Eater.666@aol.com
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
{{ID}}

Вариант от 19 июля 2019:
Расширение: .Persephone666
В каждой папке присутствует специальный файл: .DF7ADA61E0284DDD4F1E


Текстовый файл с ID: ids.txt

Его расположения: C:\Users\User\AppData\Local\Temp\ids.txt
C:\Users\User\Desktop\ids.txt
Записка: HOW TO BACK YOUR FILES.txt
Email: Sin_Eater.666@aol.com
Результаты анализов: VT + HA + AR + IA


➤ Содержание записки:

YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:1.In the letter include your personal ID! Send me this ID in your first email to me!
2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files!
3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 
4.We can decrypt few files in quality the evidence that we have the decoder. 
DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US:
Sin_Eater.666@aol.com 
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
{{ID}}


Вариант от 20 июля 2019:
Сообщение >>  (может быть двойное шифрование и путаница): 
Расширение: .haka 
Записка: HOW TO BACK YOUR FILES.txt
Email: Sin_Eater.666@aol.com

Вариант от 22 июля 2019:
Сообщение >>
Расширение: .Rabbit4444
В каждой папке присутствует специальный файл: .BFC0E91B00AE8A0620D3
Текстовый файл с ID: ids.txt
Его расположения: C:\Users\User\AppData\Local\Temp\ids.txt
Результаты анализов: VT + HA + AR + IA + VMR

Вариант от 22 июля 2019:
Сообщение >>
Расширение: .Hades666
Записка: HOW TO BACK YOUR FILES.txt
В каждой папке присутствует специальный файл: .DF7ADA61E0284DDD4F1E
Текстовый файл с ID: ids.txt
Его расположения: C:\Users\User\AppData\Local\Temp\ids.txt
C:\Users\User\Desktop\ids.txt
Email: Sin_Eater.666@aol.com
Файл: Hades666.exe
Результаты анализов: VT + VMR + HA


Запускает команды:



Вариант от 7 августа 2019: 
Сообщение >>
Расширение: .Hermes666
Записка: HOW TO BACK YOUR FILES.txt
Email: eladovin1975@protonmail.com


➤ Содержание записки: 

YOUR FILES ARE ENCRYPTED !!!
TO DECRYPT, FOLLOW THE INSTRUCTIONS:
To recover data you need decrypt tool.
To get the decrypt tool you should:
1.In the letter include your personal ID! Send me this ID in your first email to me!
2.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 
 DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US:
eladovin1975@protonmail.com
ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER:
{{ID}}


Вариант от 1 сентября 2019: 
Сообщение >>
Сообщение >>
Расширение: .Apollon865
Здесь и далее встречаются расширения с цифрами 865, которые в китайском сленге означают "Не надоедай мне" или "Отстань". 
Записка: HOW TO BACK YOUR FILES.exe
Email: Sin_Eater.666@aol.com
Файл: Apollon865.exe
Результаты анализов: VT + VMR + IA

  



Вариант от 10 сентября 2019: 
Сообщение >>
Расширение: .Ares865 и .ares865
Записка: HOW TO BACK YOUR FILES.exe
Email: Sin_Eater.666@aol.com
Результаты анализов: VT + VMR 
➤ Обнаружение: 
DrWeb -> Trojan.Encoder.29493
Microsoft -> Ransom:Win32/Maoloa.KA
Avira (no cloud) -> TR/Maoloa.pxvju
ESET-NOD32 -> A Variant Of Win32/Filecoder.Maoloa.C
TrendMicro -> Ransom_Maoloa.R002C0DIA19


Вариант от 18 сентября 2019: 
Сообщение >>
Расширение: .Artemis865-20 и .Artemis865
Записка: HOW TO BACK YOUR FILES.exe
Email: Sin_Eater.666@aol.com
Результаты анализов: VT 



Вариант от 27 сентября 2019:
Сообщение >>
Сообщение >>
Топик на форуме >>
Расширение: .Athena865
Записка: HOW TO BACK YOUR FILES.exe
Файл: Athena865.exe
Результаты анализов: VT + VMR + AR
➤ Обнаружение: 
DrWeb -> Trojan.Encoder.29658
Malwarebytes -> Ransom.Maoloa
Microsoft -> Ransom:Win32/Maoloa.KA
Avira (no cloud) -> TR/Maoloa.pgzbl
ESET-NOD32 -> A Variant Of Win32/Filecoder.Maoloa.C
TrendMicro -> Ransom_Maoloa.R002C0DIR19


Вариант от 31 октября 2019: 
Расширение: .Pig865qq
Pig - свинья по английски. Опять китайский гороскоп. Буквы "QQ" - название китайского мессенджера QQ. 
Записка: HOW TO BACK YOUR FILES.exe
Результаты анализов: VT
➤ Обнаружение: 
DrWeb -> Trojan.Ransom.675
ESET-NOD32 -> A Variant Of Win32/Filecoder.FV
TrendMicro -> Ransom.Win32.MAOLOA.SMJK

Вариант от 7 ноября 2019: 
Сообщение >>
Расширение: .Rooster865qq и .Rooster865
Rooster - петух по-английски. Опять китайский гороскоп. 
Записка: HOW TO BACK YOUR FILES.exe
Email: China.Helper@aol.com
Специальный файл с ID: ids.txt
Файл: winlogon.exe
Результаты анализов: VT + AR 
Результаты анализов файла HOW TO BACK YOUR FILES.exe: VT + AR
➤ Обнаружение: 
DrWeb -> Trojan.Ransom.675
Microsoft -> Ransom:Win32/Maoloa.KA
ESET-NOD32 -> A Variant Of Win32/Filecoder.Maoloa.C
TrendMicro -> Ransom.Win32.MAOLOA.SMJK


Вариант от 25-26 ноября 2019: 
Сообщение >>
Расширение: .Rooster865qq и .Rooster865
Записка: HOW TO BACK YOUR FILES.exe
Email: China.Helper@aol.com
Специальный файл с ID: ids.txt
Файл: winlogon_protected.exe
Результаты анализов: VT + AR 
➤ Обнаружение: 
DrWeb -> Trojan.Encoder.30214
Microsoft -> Ransom:Win32/Maoloa.KA
TrendMicro -> Ransom_Maoloa.R004C0DKS19
BitDefender -> Trojan.GenericKD.42057850


Вариант от 9 декабря 2019: 
Сообщение >>
Расширение: .Rooster865qqZ
Записка: HOW TO BACK YOUR FILES.exe
Email: China.Helper@aol.com
Специальный файл с ID: ids.txt
Файл: winlogon.exe
Результаты анализов: VT + AR 
➤ Обнаружение: 
DrWeb -> Trojan.Encoder.30146
Malwarebytes -> Ransom.Maoloa
Microsoft -> Ransom:Win32/Maoloa.KA
TrendMicro -> Ransom.Win32.MAOLOA.SMJK
ESET-NOD32 -> A Variant Of Win32/Filecoder.Maoloa.C


Вариант от 29 декабря 2019:
Топик на форуме >>
Расширение: .Monkey865qqZ или .Monkey865
Email: China.Helper@aol.com
Записка: HOW TO BACK YOUR FILES.exe



=== 2020 ===

Вариант от 11 апреля 2020:
Расширение: .Globeimposter-Alpha865qqz
Email: China.helper@aol.com
Записка: HOW TO BACK YOUR FILES.exe



Вариант от 26 ноября 2020:
Расширение: .Globeimposter-Alpha865qqz
Записка: C:\HOW TO BACK YOUR FILES.txt
Автозагрузка: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO BACK YOUR FILES.txt
Файл: cia.exe
Результаты анализов: VT + IA + VMR / VT + IA
Команда для выполнения: 
%ComSpec% /c @echo off sc config browser sc config browser start=enabled vssadmin delete shadows /all /quiet sc stop vss sc config vss start=disabled sc stop MongoDB sc config MongoDB start=disabled sc stop SQLWriter sc config SQLWriter start=disabled sc stop MSSQLServerOLAPService sc config MSSQLServerOLAPService start=disabled sc stop MSSQLSERVER sc config MSSQLSERVER start=disabled sc stop MSSQL$SQLEXPRESS sc config MSSQL$SQLEXPRESS start=disabled sc stop ReportServer sc config ReportServer start=disabled sc stop OracleServiceORCL sc config OracleServiceORCL start=disabled sc stop OracleDBConsoleorcl sc config OracleDBConsoleorcl start=disabled sc stop OracleMTSRecoveryService sc config OracleMTSRecoveryService start=disabled sc stop OracleVssWriterORCL sc config OracleVssWriterORCL start=disabled sc stop MySQL sc config MySQL start=disabled


=== 2021 ===

Вариант от 2 января 2021: 
Расширение: .Globeimposter-Alpha865qqz
Записка: HOW TO BACK YOUR FILES.txt
Email: China.Helper@aol.com
Специальный файл: .C4D1664EF40CE18F8D41
Файл с ID: ids.txt

Вариант от 20 января 2021: 
Расширение: .Encrypted
Email: opticodbestbad@aol.com, opticodbestbad@mail.ee
Результаты анализов: VT + TG


Вариант от 26 февраля 2021: 
Расширение: .Globeimposter-Alpha666qqz
Записка: HOW TO BACK YOUR FILES.txt
Email: China.Helper@aol.com
Специальный файл: .A8D68E42E88BFDF0D21E
Связанный файл: 16LHT5W3.exe
Результаты анализов: VT + IA



Adding new variants has stopped.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Maoloa)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 S!Ri
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

SEND.ID.TO

SEND.ID.TO Ransomware

(фейк-шифровальщик) (первоисточник)
Translation into English


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES-256 (из текста записки), а затем требует выкуп $400-$700 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

SEND.ID.TO Ransomware
Изображение — логотип статьи

К незашифрованным файлам добавляется расширение: .CRYPTED

Фактически используется составное расширение: 
.SEND.<ID>.TO.losamedicas@protonmail.com.CRYPTED

Шаблон незашифрованного файла:
<number_code>.SEND.<ID>.TO.losamedicas@protonmail.com.CRYPTED

Примеры незашифрованных файлов:
-123456789.SEND.CV36OKPH7Q.TO.losamedicas@protonmail.com.CRYPTED
1526999590.SEND.7p0oXEOLZI.TO.losamedicas@protonmail.com.CRYPTED

Здесь: -123456789 и 1526999590 - нумерация зашифрованного файла
CV36OKPH7Q и 7p0oXEOLZI - ID скомпрометированного компьютера

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на март и начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
HOW-TO-DECRYPT-FILES.txt
или
HOW TO DECRYPT FILES.txt
SEND.ID.TO Ransomware note записка
Вариант от 27 марта 2019 с суммой выкупа $700

SEND.ID.TO Ransomware note записка
Вариант от 4 апреля 2019 с суммой выкупа $400

Содержание записки о выкупе:
The important files on your computer have been encrypted
with military grade AES-256 bit encryption.
The only way to get access to your files - enter the decryption key.
We garantee that you can recover all your files safely and easily.
All you need to do is submit the payment and purchase the private key.
 1. Send $400 worth of Bitcoin to following adress:
3D4NDtSP6teXJLqvU3WUjopUvZQ4SLYAu2
If you don't know about Bitcoin you can buy it from here:
www.coinbase.com   or  www.localbitcoins.com  or try google.com
 2. After payment send your ID and contact email to:
losamedicas@protonmail.com or minipod@protonmail.com
YOUR ID: ********** 
and we will send INSTRUCTIONS and KEY for recovery.
PLEASE DON'T EVEN TRY TO RECOVER FILES BY YOURSELF
IN CASE IF YOU WILL TRY TO DO SOMETHING WITHOUT KEY
ACCESS TO YOUR FILES WILL BE PERMANENTLY LOST!
DON'T EVEN TOUCH ANYTHING! OR
ACCESS TO YOUR FILES WILL BE PERMANENTLY LOST!

Перевод записки на русский язык:
Важные файлы на вашем компьютере были зашифрованы с военного класса AES-256 бит шифрованием.
Единственный способ получить доступ к вашим файлам - ввести ключ дешифрования.
Мы гарантируем, что вы можете безопасно и легко восстановить все ваши файлы.
Все, что вам нужно сделать, это отправить платеж и купить закрытый ключ.
  1. Отправьте биткоины на $400 на следующий адрес:
3D4NDtSP6teXJLqvU3WUjopUvZQ4SLYAu2
Если вы не знаете о Биткоbне, вы можете купить его здесь:
www.coinbase.com или www.localbitcoins.com или попробуйте google.com
  2. После оплаты отправьте свой ID и контактный email-адрес на:
losamedicas@protonmail.com или minipod@protonmail.com
ВАШ ID: 7p0oZIOLZI
и мы вышлем ИНСТРУКЦИИ и КЛЮЧ для восстановления.
ПОЖАЛУЙСТА, ДАЖЕ НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ ФАЙЛЫ
В СЛУЧАЕ, ЕСЛИ ВЫ ПОПРОБУЕТЕ СДЕЛАТЬ ЧТО-ТО БЕЗ КЛЮЧА
ДОСТУП К ВАШИМ ФАЙЛАМ БУДЕТ НАВСЕГДА ПОТЕРЯН!
НЕ ДОТРАГИВАЙСЯ НИ ДО ЧЕГО! ИЛИ ЖЕ
ДОСТУП К ВАШИМ ФАЙЛАМ БУДЕТ НАВСЕГДА ПОТЕРЯН!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются, но они переименовываются и получают расширение .CRYPTED, из-за этого пользователи не могут их использовать. 
Целевыми файлами могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и прочие файлы. 

Файлы, связанные с этим Ransomware:
HOW-TO-DECRYPT-FILES.txt
HOW TO DECRYPT FILES.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: boleronez@gmail.com, losamedicas@protonmail.com
Email: losamedicas@protonmail.com, minipod@protonmail.com
BTC: 3A8pDa9nGTaEZssNnDn1MxbdAQv5fkrezH
BTC: 3D4NDtSP6teXJLqvU3WUjopUvZQ4SLYAu2
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis на файл, загруженный пострадавшим >>
𝚺  VirusTotal analysis на файл, загруженный пострадавшим >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 to the victims who sent the samples
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 27 февраля 2019 г.

Scarab-Artemy

Scarab-Artemy Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: osk.exe. Вымогатель оставил подпись: Артемий. 

© Генеалогия: Scarab >> Scarabey, Osk, Bomber > Scarab-Artemy
Это изображение — логотип статьи. Изображает скарабея с ARTEMY.
This image is the logo of the article. It depicts a scarab with ARTEMY.

К зашифрованным файлам добавляется расширение: .ARTEMY

Примеры зашифрованных файлов:
AAX_C8gU9L634eU5eMPxSJ5zQH2D17jz.ARTEMY
yNgqMYzbaz4zmkiYpCJ8OwUYiyjGJRnX.ARTEMY

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT

Содержание записки о выкупе:
ПРИНОШУ ИСКРЕННИЕ ИЗВИНЕНИЯ ЗА ДОСТАВЛЕННЫЕ НЕУДОБСТВА! БЕЗРАБОТИЦА В МОЕМ РЕГИОНЕ ВЫНУДИЛА ЗАШИФРОВАТЬ ВАШИ ФАЙЛЫ!
Это не мошенничество, а вынужденная мера. В случае соблюдения рекомендаций, Ваши файлы будут гарантированно расшифрованы (см. пункт "ГАРАНТИЯ РАСШИФРОВКИ ФАЙЛОВ")
Ваш личный идентификатор
6A02000000000000***353BA3E
Для восстановления Ваших документов, баз данных, фотографий, и других важных данных необходимо приобрести дешифровщик.
Для этого отправьте письмо на email:
artemy75@protonmail.com
Если ответа не поступило в течении 3х часов, продублируйте письмо на следующие адреса:
artemy75@cock.li
artemy75@tutanota.com
В письме укажите Ваш личный идентификатор (см. в начале данного документа).
Если связаться через почту не получается:
 * Скачайте и установите чат Tox (https://en.wikipedia.org/wiki/Tox_(protocol)   официальный сайт разработчиков: https://tox.chat/download.html )
 * Напишите сообщение на адрес (Tox ID):
E38E615F269782866CF4CA99414CF8C09DAC3DFC350EE326DD69511E1E785535C44E20616C4C
с указанием Вашей почты и личного идентификатора.
Далее необходимо оплатить стоимость дешифровщика. В ответном письме Вы получите адрес
Bitcoin-кошелька, на который необходимо выполнить перевод денежных средств и сумму платежа.
Предусмотрены скидки  до 80% для следующих категорий граждан:
Безработные (Справка с центра занятости)
Малоимущие (Справка о признании гражданина (семьи) малоимущим)
Беременные (Справка из женской консультации о сроке беременности)
Инвалиды 1 и 2 группы (Справка об инвалидности)
В каждом из случаев требуется предоставить фото с паспортом и справкой.
Если у Вас нет биткойнов:
 * Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new
 * Приобретите криптовалюту Bitcoin:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
 * Отправьте требуемое количество BTC на указанный в письме адрес
В случае возникновения сложностей с приобретением биткойнов, я обязательно помогу разобраться, обращайтесь на почту.
Когда денежный перевод будет подтвержден, Вы получите дешифровщик файлов для Вашего компьютера.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
ГАРАНТИЯ РАСШИФРОВКИ ФАЙЛОВ:
Перед оплатой вы можете отправить мне до 3х файлов для бесплатной расшифровки. Это основная гарантия наличия у меня дешифровщика.
Они не должны содержать важную информацию, общий размер файлов должен быть не более 10 мб.
Мне нет смысла врать (отправить дешифровщик занимает 30 секунд времени), после подтверждения оплаты Вы в течении нескольких минут получите дешифровщик. И гарантированно расшифруете ВСЕ свои файлы.
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства это приведет к потере Ваших данных.
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных.
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования.
С наилучшими пожеланиями, Артемий!

Перевод записки на русский язык:
уже сделан



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Удаляет системные бэкапы файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
/c bcdedit /set {default} bootstatuspolicy ignoreallfailures
/c bcdedit /set {default} recoveryenabled No
/c copy /y "C:\27.02.2019.scr.exe" "%APPDATA%\osk.exe"
/c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT - записка в русской системе
ÊÀÊ ÂÎÑÑÒÀÍÎÂÈÒÜ ÇÀØÈÔÐÎÂÀÍÍÛÅ ÔÀÉËÛ.TXT - записка в нерусской системе
osk.exe
27.02.2019.scr.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Roaming\osk.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: artemy75@protonmail.com
artemy75@cock.li
artemy75@tutanota.com
BTC:
Tox: E38E615F269782866CF4CA99414CF8C09DAC3DFC350EE326DD69511E1E785535C44E20616C4C
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>  AR >> {Re-run > Add 60s+}
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
Scarab-Enter - ноябрь 2018
Scarab-Aztec (Pizza) - декабрь 2018
Scarab-Zzz - январь 2019
Scarab-Crash - январь 2019
Scarab-Gefest - январь 2019
Scarab-Artemy - февраль 2019
Scarab-Kitty - март 2019
Scarab-Monster - апрель 2019
и другие...



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Emmanuel_ADC-Soft >>
---
Attention!
Files can be decrypted!
I recommend getting help with this link to Emmanuel_ADC-Soft >>
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
- видео начального момента
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ANY.RUN
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 24 февраля 2019 г.

Jokeroo

Jokeroo Ransomware

(шифровальщик-вымогатель, RaaS)
Translation into English


Этот крипто-вымогатель распространяется как RaaS и шифрует данные пользователей с помощью Salsa20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Jokeroo. Ранее этот безымянный RaaS рекламировал себя GandCrab Ransomware RaaS на хакерском форуме Exploit.in. Теперь теми же темпами открещивается от GandCrab в Твиттере. 

© Генеалогия: fake GandCrab RaaS >> Jokeroo RaaS


Оригинальный логотип Jokeroo
Начальная страница сайта для входа

Внимание! С течением времени в конце статьи, в обновлениях могут быть различия с первоначальным вариантом. 


Скриншоты с сайтов вымогательского проекта с описанием функционала и "преимуществ". Статистические данные на данный момент скорее всего фиктивные, т.к. они только недавно запустили своей RaaS. 
 
 

Партнеры вымогателей при покупки версии Essential за 90$ смогут:
- создать 1 Ransomware;
- изменить название проекта;
изменить требования выкупа;
изменить текст в TXT-записке
- заменить логотип Jokeroo;
- выбрать расширения;
изменить описание TXT-записки о выкупе;
- получать выкуп в биткоинах.

Партнеры вымогателей получат:
- доступ в панель управления;
- просмотр информации о ПК жертв; 
- обновления в авто и ручном режимах;
- просмотр новостей проекта;
- просмотр IP ПК жертв;
- 15% от сбора с жертв;
- пожизненную лицензию. 

Еще больше функционала и возможностей сулят при покупке лицензий Standard за 300$ и Premium за $600. Это больше настроек, 100% от выкупа, создание 5 и 10 Ransomware соответственно, приоритетная поддержка и также пожизненная лицензия (видимо, пока не посадят за совершенные преступления). 

Вымогатели сделали собственные скриншоты, наложив на них водяной знак со своим email. Они демонстрируют некоторые описанные выше возможности. 
 
 



Технические детали

Jokeroo Ransomware-as-a-Service продвигается на сайтах кибер-андеграунд и через Twitter. После покупки RaaS за $90 партнеры получают доступ к полнофункциональному серверу Ransomware и платежам. В рамках этой сделки филиалы и разработчики делят платежи, полученные от жертв.

Далее может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это может настраиваться в партнерском экземпляре Jokeroo RaaS. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Jokeroo.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://jokeroodgo3ylved.onion/
Tor-URL: xxxx://jokerootqsrkifko.onion/
Email: jokeroo@protonmail.com 
xmpp: jokeroo@exploit.im
BTC: настраивается в партнерском экземпляре Jokeroo RaaS.
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: пока ещё низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter, Tweet + myTweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Damian, David Montenegro, Lawrence Abrams
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *