Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
Зашифрованные фацйлы переименовываются по шаблону: [<email_ransom>]<original_file>.<random_chars>.evopro
Пример зашифрованного файла: [evopro@protonmail.com]MyDocument.txt.9R1krPzSq9SqUH4ICqdMCZh4AjrexPODWWe7iIN8.evopro Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало марта 2019 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: _如何解密我的文件_.txt
Фраза на китайском "如何解密我的文件" переводится как "Как расшифровать мой файл".
Содержание записки о выкупе: *** Перевод записки на русский язык: ***
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: _如何解密我的文件_.txt <random>.exe - случайное название Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Email: - BTC: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid analysis >> 𝚺 VirusTotal analysis >> 🐞 Intezer analysis >> ⴵ VMRay analysis >> Ⓥ VirusBay samples >> ⨇ MalShare samples >> ᕒ ANY.RUN analysis >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало марта 2019 г. Сначала в субботу 2 марта был атакован и заражён израильский сайт nagich.co.il и один из его поддоменов, связанный с десятками сайтов СМИ и правительством. Через несколько часов атакованные сайты были восстановлены. JCry ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: JCRY_Note.html
Содержание записки о выкупе: All Your Important Files have been Encrypted 1- Send 500$ worth of Bitcoin to this Address : 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt 2- Download Tor Browser and Open the following Link : Recovery Link 3- Enter the Address used in Payement 4- We'll check your Payement and upload your Decryption Key 5- Open the same link again (after a while) and enter your Unique ID to get your Decryption Key Your Unique Key : 170591aacc29ec075852329abcd569df910872c88edef2b0c690e8a8de06da8918935de97417b825b9fe1bf28ac03d78873780f95233daff6ec52bda41eac29996fdaac179cd8564f55a44cb9b7080a4df555183b94e3b844dc043afa37fe61985ca5c804*** Перевод записки на русский язык: Все ваши важные файлы были зашифрованы 1- Отправьте 500$ в биткоинах на этот адрес: 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt 2- Скачайте Tor-браузер и откройте следующую ссылку: Recovery Link 3- Введите адрес, используемый в платеже 4- Мы проверим ваш платеж и загрузим ваш ключ расшифровки 5- Откройте ту же ссылку снова (через некоторое время) и введите свой уникальный ID, чтобы получить ключ расшифровки Ваш уникальный ключ: 170591aacc29ec075852329abcd569df910872c88edef2b0c690e8a8de06da8918935de97417b825b9fe1bf28ac03d78873780f95233daff6ec52bda41eac29996fdaac179cd8564f55a44cb9b7080a4df555183b94e3b844dc043afa37fe61985ca5c804 *** Другим информатором жертвы выступает экран блокировки:
Так выглядел экран на виртуальной машине
Улучшенный вид этого экрана
Содержание текста на экране: #OpJerusalem [#] Jerusalem is the capital of Palestine [#] If you are reading this, all your important files have been encrypted, read JCRY_NOTE.html in your Desktop for more information. [X] Enter Your Decryption Key: Перевод текста на русский язык: #OpJerusalem [#] Иерусалим это столица Палестины [#] Если вы читаете это, все ваши важные файлы были зашифрованы, прочтите JCRY_NOTE.html на вашем рабочем столе для информации. [X] Введите ваш ключ расшифровки:
Технические детали
Для атаки использовался файл, который представлял собой фальшивый файл Adobe Flash Player. Хакеры использовали виджет Nagich для автоматического внедрения вредоносного кода на тысячи израильских сайтов. При посещении сайта, который использовал этот виджет, вместо него в браузере пользователя загружался вредоносный скрипт. Исследователи заметили и изучили код, который должен был инициировать загрузку вредоносного файла. Этот вредоносный код должен был в первую очередь повредить разметку и внешний вид сайтов сообщением "Jerusalem is the capital of Palestine #OpJerusalem", а затем инициировать автоматическую загрузку заражённого Ransomware файла flashplayer_install.exe
Но из-за некой ошибки планам хакеров не удалось сбыться. Внешний вид сайтов был повреждён, но запланированная загрузка вредоносного файла с этих сайтов не была осуществлена.
После переконфигурации JCry может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. ➤ UAC не обходит. Требуется разрешение на запуск.
➤ Для атаки использует легитимные технологии: Windows PowerShell, WScript и WinRAR SFX
➤ Удаляет теневые копии файлов с помощью команды: vssadmin.exe vssadmin delete shadows /all Список файловых расширений, подвергающихся шифрованию: .3dm, .3ds, .3g2, .3gp, .aif, .apk, .app, .asf, .asp, .avi, .bak, .bat, .bin, .bmp, .cbr, .cer, .cfg, .cfm, .cgi, .cmd, .com, .cpp, .crx, .csr, .css, .csv, .cue, .dat, .dbf, .dcr, .dds, .deb, .dem, .der, .dmg, .dmp, .doc, .dtd, .dwg, .dxf, .eps, .exe, .fla, .flv, .fnt, .fon, .gam, .ged, .gif, .gpx, .hqx, .htm, .ics, .iff, .iso, .jar, .jpg, .jsp, .key, .kml, .kmz, .log, .lua, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mid, .mim, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .msi, .nes, .obj, .odt, .otf, .pct, .pdb, .pdf, .php, .pkg, .png, .pps, .ppt, .psd, .rar, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sln, .sql, .srt, .svg, .swf, .tar, .tex, .tga, .thm, .tif, .tmp, .ttf, .txt, .uue, .vcd, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .wsf, .xlr, .xls, .xml, .yuv, .zip (126 расширений). Всего может быть атаковано больше файлов. Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: flashplayer_install.exe - основной EXE-файл Enc.exe - файл для шифрования Dec.exe - файл для дешифрования PersonalKey.txt - JCRY_Note.html - записка о выкупе <random>.exe - случайное название EXE-файла sfxrar.pdb - файл проекта (дата компиляции 22-Feb-2019 19:09:31) msg.vbs - файл скрипта (см. ниже скриншот ошибки)
Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> C:\Users\admin\Desktop\JCRY_Note.html C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Enc.exe C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dec.exe C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PersonalKey.txt D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: URL malware: xxxx://185.163.47.134/flashplayer_install.exe
Содержание записки о выкупе: _______________________________________________________________ !!!!!!!IMPORTANTLY!!!!!!! _______________________________________________________________ !!!!!!!Your files are encrypted!!!!!!! --> 1.Do not try to recover your files on your own or with someone else, because after the intervention you can remain without your data forever. --> 2.You can send a file to test our ability to recover your files. --> 3.You have 48 hours to contact us, otherwise you will be left without access to the files forever. --> 4.If you see this text, then your files are no longer accessible, because they have been encrypted. --> 5.Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service. --> 6.We guarantee that you can recover all your files safely and easily.All you need to do is submit the payment and purchase the decryption key. ___________________________________________________________ Please follow the instructions : 1.Contact us at BitMessage: BM-2cTsAkCn4he27fxB52VkVEcKTS45JvfpCQ or e-mail: helptate@protonmail.com 2.Send this file ___________________________________________________________ WQFXUkoCZ+ukSs***UPhm6w== Перевод записки на русский язык: --- !!!!!!! ГЛАВНОЕ !!!!!!! --- !!!!!!! Ваши файлы зашифрованы !!!!!!! -> 1.Не пытайтесь восстановить ваши файлы самостоятельно или с кем-то еще, т.к. после вмешательства вы можете потерять ваши данные навсегда. -> 2.Вы можете отправить файл для проверки нашу способность восстановить ваши файлы. -> 3.У вас есть 48 часов, чтобы связаться с нами, иначе вы останетесь без доступа к файлам навсегда. -> 4.Если вы видите этот текст, то ваши файлы больше не доступны, потому что они зашифрованы. -> 5.Возможно, вы заняты поиском способа восстановить ваши файлы, но не тратьте свое время. Никто не может восстановить ваши файлы без нашей Службы дешифрования. -> 6.Мы гарантируем, что вы можете безопасно и легко восстановить все ваши файлы. нужно сделать платеж и купить ключ дешифрования. --- Пожалуйста, следуйте инструкциям: 1. Контакт с нами по BitMessage: BM-2cTsAkCn4he27fxB52VkVEcKTS45JvfpCQ или по email: helptate@protonmail.com 2. Отправьте этот файл --- WQFXUkoCZ+ukSs***UPhm6w ==
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Зашифрованные файлы помечаются маркером файлов CSP_
Файлы, связанные с этим Ransomware: HOW TO DECRYPT[*****].txt <random>.exe - случайное название Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Email: helptate@protonmail.com BitMessage: BM-2cTsAkCn4he27fxB52VkVEcKTS45JvfpCQ BTC: См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid analysis >> 𝚺 VirusTotal analysis >> 🐞 Intezer analysis >> ⴵ VMRay analysis >> Ⓥ VirusBay samples >> ⨇ MalShare samples >> ᕒ ANY.RUN analysis >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 28 июня 2019: Пост в Твиттере >> Расширение: .wav_list Email: addwe@protonmail.com Bitmessage: BM-2cXAZEBNLBtSpyxGyhYpqZw9922i8LVF9p Записка: HOW TO DECRYPT[*****].txt ➤ Содержание записки: ???????YOUR FILES ARE ENCRYPTED??????? I. Do not try to recover your files on your own or with someone else, because after the intervention you can remain without your data forever. Files encrypted using encryption AES256-CBC. Its impossible to recover the files without the correct private key. II. You can send a file to test our ability to recover your files (~2 mb). III. If you see this text, then your files are no longer accessible, because they have been encrypted. IV. Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service. V. We guarantee that you can recover all your files safely and easily. All you need to do is submit the payment and purchase the decryption key. PLEASE FOLLOW THE INSTRUCTIONS : | | V I. Contact us: E-mail: addwe@protonmail.com BitMessage: BM-2cXAZEBNLBtSpyxGyhYpqZw9922i8LVF9p | | V -------> II. SEND THIS FILE <------- [redacted 0x80 bytes in base64]
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
К зашифрованным файлам добавляются разные расширения. Примеры:
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя продолжается в течение 2019 г. Ориентирован на разноязычных (англоязычных, русскоязычных и прочих) пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа может называться: HOW TO DECRYPT FILES.txt HOW TO RECOVER ENCRYPTED FILES.TXT How to decrypt files.TXT Как расшифровать файлы ***.txt Иногда запиской с требованием выкупа может выступать изображение, заменяющее обои Рабочего стола. Содержание записки о выкупе: различается в разных вариантах.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: <ransom_note>.txt - название файла с требованием выкупа <random>.exe - случайное название вредоносного файла Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Мьютексы: См. ниже результаты анализов. Сетевые подключения и связи: Email: BTC: См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid analysis >> 𝚺 VirusTotal analysis >> 🐞 Intezer analysis >> ᕒ ANY.RUN analysis >> ⴵ VMRay analysis >> Ⓥ VirusBay samples >> ⨇ MalShare samples >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: средняя. Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 3 декабря 2019 Пост в Твиттере >> Расширение: .b78vi7v6ri66b Записка: HOW TO RECOVER ENCRYPTED FILES.TXT Email: mailnitrom@protonmail.ch (mailnitrom@airmail.cc, mailnitrom@tutanota.com) Результаты анализов: VT + HA + AR
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter + Tweet + myTweet
ID Ransomware (ID as Scarab)
Write-up, Topic of Support
*
Thanks:
Andrew Ivanov (author)
Emmanuel_ADC-Soft, GrujaRS, Michael Gillespie,
***
to the victims who sent the samples
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Read to links: Tweet on Twitter + myTweet ID Ransomware (ID as Lucky) Write-up, Topic of Support *
Thanks: Michael Gillespie Andrew Ivanov (author) *** to the victims who sent the samples
