Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 17 марта 2019 г.

JNEC.a

JNEC.a Ransomware

(шифровальщик-вымогатель) (первоисточник)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: JNEC.a. На файле написано: JNEC.A. В окне программы написано: JNEC.a. Написан на .NET. Использует для обмана фальш-имя GoogleUpdate.exe. Вероятно, распространяется вымогателями из России. Один из пострадавших сообщил, что используемый в записке о выкупе BTC-адрес принадлежит хакеру из Челябинска. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

 К зашифрованным файлам добавляется расширение: .Jnec

Этимология названия:
Вполне возможно, что название JNEC в русском языке передает слова "Женек" (уменьшительный вариант имени Евгений) или слово "жнец", которое может быть фамилией или прозвищем Жнец. Но это всего лишь предположения. 


 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на середину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: JNEC.README.TXT

Содержание записки о выкупе:
Deposit amount: 0.05 BTC
BTC Address: 1JK1gnn4KEQRf8n7pHZiNvmV8WXTfq7kVa
Your ID: 2rlcDRLVp5iR
Your Email: 2rlcDRLVp5iR@gmail.com (Create a mail to get the decryption key)

 Перевод записки на русский язык:
Сумма депозита: 0.05 BTC
BTC адрес: 1JK1gnn4KEQRf8n7pHZiNvmV8WXTfq7kVa
Ваш ID: 2rlcDRLVp5iR
Ваш Email: 2rlcDRLVp5iR@gmail.com (Создайте почту, для получения ключа расшифровки)

 Другим информатором жертвы выступает экран блокировки:
Содержание текста на экране:
JNEC.a
INFO
Encrypted files: 43
Deposit amount: 0.05 BTC
Your Email: 2rlcDRLVp5iR@gmail.com
(Create this mailbox to get the decryption key, as soon as the payment arrives, we will contact you)
BTC addres for pay: 1JK1gnn4KEQRf8n7pH2NvmV8WXTFq7kVa

 Перевод текста на экране:
JNEC.a
ИНФА
Зашифрованные файлы: 43
Сумма депозита: 0.05 BTC
Ваш электронный адрес: 2rlcDRLVp5iR@gmail.com
(Создайте этот почтовый ящик, чтобы получить ключ расшифровки, как только будет получен платеж, мы свяжемся с вами)
Адреса BTC для оплаты: 1JK1gnn4KEQRf8n7pH2NvmV8WXTFq7kVa

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

 ➤ Исходный архив при открытии использует недавнюю уязвимость (CVE-2018-20250) в библиотеке WinRAR UNACEV2.DLL, которая относится к формату ACE и затрагивает все версии WinRar, вышедшие за 19 лет существования программы до версии 5.70. Уязвимость была устранена в январе 2019 года с выходом версии 5.70 Beta 1Сообщается, что разработчики решили отказаться от поддержки формата ACE. Первые атаки на уязвимость появились в феврале этого года, а неделю мы узнали, что уже имеется более 100 разных эксплоитов.
Скриншот поддерживаемых форматов новой версии WinRar

 Чтобы защититься, необходимо загрузить и установить версию 5.70.
Ссылка для загрузки WinRar 5.70 с официального сайта >>

  Внутри вредоносного архива vk_4221345.rar находится искаженное изображение девушки, которое при распаковке вызывает ошибку и показывает неполное изображение. 

Пользователь скорее всего попытается извлечь изображение из архива, чтобы просмотреть. Это выглядит как техническая ошибка, поэтому пользователь вскоре забудет об этом. Но при открытии архива вредонос в фоновом режиме запускает уязвимую версию WinRAR взамен имеющейся на данном ПК, при этом в систему копируется файл JNEC.a Ransomware, который начинает процесс шифрования файлов. 
Пример зашифрованного файла

  После шифрования файлов будет сгенерирован адрес почты Gmail, который жертва должна зарегистрировать самостоятельно, чтобы получить ключ дешифрования после уплаты выкупа. 
 Эксплойт WinRAR позволяет поместить вредонос в виде файла GoogleUpdate.exe в папку автозагрузки Windows Startup, поэтому шифровальщик запустится при следующем входе в систему.

➤ Из-за допущенной ошибки даже сами вымогатели не смогут расшифровать файлы. Уплата выкупа бесполезна! 

 Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
vk_4221345.rar - исходный файл, эксплуатирующий уязвимость в библиотеке WinRAR 
iku_m2VtkXA.jpg - специально поврежденный файл изображения
JNEC.A.exe
GoogleUpdate.exe
JNEC.README.TXT
<random>.exe - случайное название

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\GoogleUpdate.exe

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: 2rlcDRLVp5iR@gmail.com
BTC: 1JK1gnn4KEQRf8n7pHZiNvmV8WXTfq7kVa
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as JNEC.a)
 Write-up, Topic of Support
 * 
 Thanks: 
  Ionut Ilascu, Michael Gillespie, MalwareHunterTeam
 360 Threat Intelligence Center, Andrew Ivanov (author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на 2 комментария:

четверг, 14 марта 2019 г.

Jamper, Jumper

Jamper Ransomware

Jumper Ransomware

(шифровальщик-вымогатель) (первоисточник)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1-3 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

 Обнаружение: 
DrWeb -> Trojan.Encoder.27582
ALYac -> Trojan.Ransom.Jamper
BitDefender -> Gen:Variant.Jacard.149278
Malwarebytes -> Ransom.Jamper
Kaspersky -> HEUR:Trojan.Win32.Mucc.gen

 © Генеалогия: Vega (VegaLocker), Vega Family > Jamper (Jumper) > Buran
Изображение — логотип статьи 

Принадлежность к семье Vega: 
Вырезка из кода с выделением слова ULTIMATEVEGA, подтверждает принадлежность семье Vega. 

 К зашифрованным файлам добавляются расширения: 
.jamper
.jumper

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на середину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: ---README---.TXT

Содержание записки о выкупе:
All your important files are encrypted 
There is only one way to get your files back: contact with us, pay, and get decryptor software. 
We accept Bitcoin 
You have Your personal identifier, write it in letter when contact with us. 
Also you can decrypt 1 file for test, its guarantee what we can decrypt your files. 
Attention! 
Do not rename encrypted files. 
Do not try to decrypt using third party software, it may cause permanent data loss. 
For decrypt your data write to email 
Contact information: 
 greenworksh@mail.com 
 greenworksh@countermail.com

 Перевод записки на русский язык:
Все ваши важные файлы зашифрованы
Есть только один способ вернуть ваши файлы: связаться с нами, заплатить и получить программу расшифровки.
Мы принимаем биткоины
У вас есть личный идентификатор, напишите его в письме, когда свяжитесь с нами.
Также вы можете расшифровать 1 файл для проверки, это гарантия того, что мы можем расшифровать ваши файлы.
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать с помощью сторонних программ, это может привести к потере данных.
Для расшифровки ваших данных пишите на email
Контакты:
  greenworksh@mail.com
  greenworksh@countermail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
➤ UAC не обходит. Требуется разрешение на запуск. 

 ➤ Очищает журналы событий системы и приложений, лог RDP, журнал PowerShell, журнал доверенных сертификатов.

  Удаляет теневые копии файлов (VSS), отключает функции восстановления и исправления Windows на этапе загрузки командами:
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
cmd.exe /C bcdedit /set {default} recoveryenabled no
cmd.exe /C wbadmin delete catalog -quiet
cmd.exe /C wbadmin delete systemstatebackup
cmd.exe /C wbadmin delete systemstatebackup -keepversions:0
cmd.exe /C wbadmin delete backup
cmd.exe /C wmic shadowcopy delete
cmd.exe /C vssadmin delete shadows /all /quiet

➤ Удаляет себя после выполнения.

 ➤ В начале зашифрованного файла с расширением .jamper имелся маркер файлов: V.................
Но в зашифрованных файлах с расширением .jumper его уже нет. 

 Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Не шифруются следующие типы файлов: 
.bat, .cmd, .com, .cpl, .dll, .lnk, .msc, .msp, .pif, .scr, .sys, .vega

 Файлы, связанные с этим Ransomware:
---README---.TXT
defender.exe
4B87836C.vega
F47E5E19.vega
<random>.exe - случайное название
много других сброшенных файлов

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Roaming\Firewall and Security.{4026492F-2F69-46B8-B9BF-5654FC07E423}\defender.exe
%TEMP%\4B87836C.vega
%TEMP%\F47E5E19.vega

 Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Vega\Service
Public = {base64 encoded data}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Defender = %Application Data%\Firewall and Security.{GUID}\defender.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:  greenworksh@mail.com, greenworksh@countermail.com
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Vega (VegaLocker) Ransomware - февраль 2019
Jamper (Jumper) Ransomware - март, апрель, май 2019
Buran Ransomware - май 2019
Buran 2.0 Ransomware - июнь 2019
Buran-Ghost Ransomware - июнь 2019
другие варианты
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 5 апреля 2019: 
Пост на форуме >>
Расширение: .jumper
Записка: ---README---.TXT
Email-1: jumper-support@countermail.com
Email-2: jumper-help@mail.com
Файл EXE: Mouse Lock.exe
➤ Содержание записки:
All your important files are encrypted
There is only one way to get your files back: contact with us, pay, and get decryptor software.
We accept Bitcoin
Also you can decrypt 1 file for test, its guarantee what we can decrypt your files.
Attention!
Do not rename encrypted files.
Do not try to decrypt using third party software, it may cause permanent data loss.
For decrypt your data write to email
Contact information:
 jumper-support@countermail.com
 jumper-help@mail.com


 Обновление от 8 апреля 2019: 
Топик на форуме >>
Пост в Твиттере >>
Расширение: .jumper
Записка: ---README---.TXT
Email-1: greenworksh@mail.com
Email-2: greenworksh@countermail.com
➤ Содержание записки:
Your personal id 159A3*****
All your important files are encrypted! 
There is only one way to get your files back: 
1. Contact with us 
2. Send us 1 any encrypted your file and your personal id 
3. We will decrypt 1 file for test, its guarantee what we can decrypt your files 
4. Pay 
5. We send for you decryptor software 
We accept Bitcoin 
Attention! 
Do not rename encrypted files. 
Do not try to decrypt using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) 
Contact information: 
Email 1:  greenworksh@mail.com
Email 2:  greenworksh@countermail.com
➤ Другой вариант записки:

Обновление от 30 мая 2019:
Топик на форуме >>
Пост в Твиттере >>
Расширение: .SONIC
Пример зашифрованного файла: Management.doc.SONIC
Записка: ---README---.TXT
Email: recoverymanager@mail.com, recoverymanager@cock.li
Другие файлы: \Temp\969DB87A.ghost
Файл EXE: defender.exe
Результаты анализов: VT

Обновление от 16 мая 2019:
Новая вариация >> Buran Ransomware

Обновление от 2 ноября 2019:
Топик на форуме >>
Расширение: .SONIC
Записка: ---README---.TXT
Email: jumper-support@countermail.com, jumper-help@mail.com
➤ Содержание записки:
All your important files are encrypted! 
There is only one way to get your files back: 
1. Contact with us 
2. Send us 1 any encrypted your file 
3. We will decrypt 1 file for test, its guarantee what we can decrypt your files 
4. Pay 
5. We send for you decryptor software 
We accept Bitcoin 
Attention! 
Do not rename encrypted files. 
Do not try to decrypt using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) 
Contact information: 
Email 1: jumper-support@countermail.com 
Email 2: jumper-help@mail.com 
Your ID: EB45D*****




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (1st ID as Jamper, 2nd as Vega/Jamper/Buran)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, S!Ri
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на Комментариев нет:

ZQ, W_Decrypt24

ZQ Ransomware

W_Decrypt24 Ransomware

(шифровальщик-вымогатель) (первоисточник)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa20 и RSA-1024, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

 © Генеалогия: выясняется, явное родство с кем-то не доказано.

 К зашифрованным файлам добавляется расширение .zq
Фактически используется составное расширение: .[w_decrypt24@qq.com].zq

Этимология названия:
Вымогатели сами не указали, как называется их "творение". Поэтому мы вольны сами дать ему название, используя то, что есть — расширение и адрес почты. Это давно принятая норма. Поэтому для названия статьи и программы-вымогателя я использовал расширение и логин почты. 
Здесь логин w_decrypt24 можно понять, как фразу "write to us to decrypt 24 hour" (пишите нам для расшифровки, 24 часа). 


 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на середину и конец марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: {HELP_DECRYPT}.txt

Содержание записки о выкупе:
All of _our files are encr_pted* to decr_pt them write me to email::w_decrypt24@qq.com
Your key:
2fb6288d6a906d7277ca12***  (256 chars)

 Перевод записки на русский язык:
Все твои файлы зашифрованы*, для их расшифровки пиши мне на email::w_decrypt24@qq.com
Твой ключ:
2fb6288d6a906d7277ca12***   (256 знаков)

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
{HELP_DECRYPT}.txt
<random>.exe - случайное название

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: w_decrypt24@qq.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 15 мая 2019:
Топик на форуме >>
Расширение: .ws
Составное расширение: .[w_unblock24@qq.com].ws
Записка: {HELP24DECRYPT}.txt
Email: w_unblock24@qq.com
➤Содержание записки:
*************************************************write me to email::w_unblock24@qq.com    
Key:     
f57106993e4b1864215887698c48d47981cf3d6b77673e709f77589930365a

***


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! Файлы можно дешифровать!
Для зашифрованных файлов есть дешифровщик
Скачать ZQDecrypter для дешифровки >>
Подробная инструкция прилагается. 
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ZQ)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на Комментариев нет:
Подписаться на: Сообщения (Atom)

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *