Если вы не видите здесь изображений, то используйте VPN.

пятница, 12 июля 2019 г.

Ims00ry

Ims00ry Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.MulDrop9.20835
BitDefender -> Generic.Starter.3.EC0425DF, Trojan.GenericKD.32127402
Kaspersky -> Trojan-Ransom.Win32.Encoder.dgb

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение.ch4x0
Это расширение используется только во время шифрования. После шифрования файла это расширение удаляется. 

Также используется маркер файлов "---shlangan AES-256---"


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в первой половине июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt 
Содержание текста о выкупе: 
I am sorry!!!
My friend. I want to start my own business, but i have no money.
All your files photos, databases, documents and other important are encrypted with strongest encryption and algorithms RSA 4096, AES-256.
If you want to restore your files payment and write to Telegram bot
Price decrypt software is $50.
Attention!!!
Do not rename or move the encrypted files.
Bitcoin wallet:
1tnZbveCXmqRS1gfZSxztG5MbdJhptaqu
Contact Telegram bot:
@lms00rybot

Перевод текста на русский язык:
Я прошу прощения!!!
Мой друг. Я хочу начать свое дело, но у меня нет денег.
Все ваши файлы фото, базы данных, документы и другие важные файлы зашифрованы с самыми надежными алгоритмами шифрования RSA 4096, AES-256.
Если вы хотите восстановить ваши файлы платите и напишите боту Telegram
Цена программы дешифрования 50$.
Внимание!!!
Не переименовывайте и не перемещайте зашифрованные файлы.
Биткоин-кошелек:
1tnZbveCXmqRS1gfZSxztG5MbdJhptaqu
Связь с ботом Telegram:
@lms00rybot

Запиской с требованием выкупа также выступает изображение, заменяющее обои Рабочего стола:

Содержание текста с изображения:
I am sorry!!!
All your files photos, databases, documents and other important are encrypted with strongest encryption and algorithms RSA 4096, AES-256.
If you want to restore your files payment.
Price decrypt software is $50.
Attention!!! 
Do not rename or move the encrypted files. 
Bitcoin wallet:
1tnZbveCXmqRS1gfZSxztG5MbdJhptaqu
Contact Telegram bot:
@Ims00rybot
Find text file README and read more information.

Перевод текста на русский язык:
Я прошу прощения!!!
Все ваши файлы фото, базы данных, документы и другие важные зашифрованы с самыми надежными алгоритмами шифрования RSA 4096, AES-256.
Если вы хотите восстановить ваши файлы платите.
Цена программы дешифрования 50$.
Внимание!!!
Не переименовывайте и не перемещайте зашифрованные файлы.
Биткоин-кошелек:
1tnZbveCXmqRS1gfZSxztG5MbdJhptaqu
Связь с ботом Telegram:
@Ims00rybot
Найдите текстовый файл README и прочтите информацию.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Список деструктивных команд (останавливает работу служб VVS, WSC, Windows Defender, BITS, ERS, WERS, удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки и прочее)
vssadmin.exe Delete shadows /All /Quiet
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin.exe Delete shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt  - файл с текстом вымогателей
des1.jpg - файл изображения для замены обоев
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 1tnZbveCXmqRS1gfZSxztG5MbdJhptaqu
Telegram bot: @Ims00rybot
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Скачайте дешифровщик для расшифровки файлов >>
***
 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tweet
 ID Ransomware (ID as Ims00ry)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie, Emsisoft
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 8 июля 2019 г.

ExpBoot

ExpBoot Ransomware

(фейк-шифровальщик) (первоисточник)
Translation into English


Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует перейти на китайский сайт и "зарядить батарейки" определенному пользователю, чтобы вернуть файлы. Прилагается небольшой FAQ. Оригинальное название: ExpBoot. На файле написано: ExpBoot.exe. Разработчик: MIAIONE

Обнаружения: 
DrWeb -> Trojan.Encoder.28769, Trojan.Encoder.28782
BitDefender -> Trojan.Agent.EADR, Trojan.GenericKD.41445542, Gen:Variant.Ser.Ursu.9261
Rising -> Ransom.Encoder!8.FFD4 (CLOUD), Ransom.ExpBoot!1.BA07 (CLOUD)

© Генеалогия: T1Happy и другие >> ExpBoot


Изображение — логотип статьи (использован аватар разработчика)

К незашифрованным файлам добавляется расширение: .ExpBoot

Чтобы вернуть к ним доступ, нужно убрать это расширение у нужных файлов. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале июля 2019 г. Ориентирован на англоязычных и китайских пользователей, что не мешает распространять его по всему миру. Штамп времени: фиктивная дата. Может быть связан с CXK-NMSL Ransomware

Запиской с требованием выкупа выступает розовый экран блокировки и некий FAQ.
Из-за ошибок в работе программы удалось получить только такой скриншот. далее окно программы зависает, а потом его можно закрыть. 



Содержание текста FAQ:
Q: What is wrong with my file?
A: Oops, your important files are encrypted. This means you will no longer be able to access them until you decrypt them.
If you follow our instructions, we guarantee that you can decrypt all files quickly and safely!

Q: What should I do?
A: First of all, you need to pay a service fee for decryption, a total of 10,000 batteries.
Please charge 10,000 batteries to this user (UID: 185636167)
Follow the instructions! (You may need to temporarily disable anti-virus software.)
After opening the link, click the charging button on the right to charge 10,000 batteries and leave a message for your contact. (only for your email)

Q: How can I believe it?
A: Don't worry about decryption.
We will definitely decrypt your files, because if we deceive users, no one will trust us.

Перевод записки на русский язык:
Вопрос: Что не так с моим файлом?
Ответ: Упс, ваши важные файлы зашифрованы. Это значит, что вы больше не сможете получить к ним доступ, пока не расшифруете их.
Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все файлы!

В: Что мне делать?
О: Прежде всего, вам надо оплатить сервисный сбор за расшифровку, всего 10.000 батарей.
Пожалуйста, зарядите 10.000 батарей этому пользователю (UID: 185636167)
Следуй инструкциям! (Возможно, вам придется временно отключить антивирусную программу.)
Открыв ссылку, нажмите кнопку зарядки справа, чтобы зарядить 10.000 батарей и оставьте сообщение для вашего контакта. (только для вашей email)

В: Как я могу в это поверить?
О: Не беспокойтесь о расшифровке. 
Мы обязательно расшифруем ваши файлы, т.к., если мы обманем пользователей, никто не будет доверять нам.

Пояснения: 

В тексте говорится, что нужно перейти по ссылке (xxxxs://space.bilibili.com/185636167) на китайский сайт и зарядить батарейки пользователю сайта bilibili.com UP QQ 1913810942 MIAIONE. 






Это и есть зарядка, если перевести на русский язык. 



Технические детали

Распространяется разными обманными путями, разобраться или запутаться в китайских хитросплетениях может только китайский пользователь. Позже разработчик с ником MIAIONE вышел на связь и сказал, что он не пытался это распространять, не пытался кому-то причинить вред. Он сделал это для исследования и улучшения защиты. Видимо так и не понял, что подобные "исследования" являются распространением вредоносных программ, как ни крути. 

После доработки вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
На самом деле файлы не шифруются, но после добавления расширения могут оказаться недоступны.  
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ExpBoot.exe
taskmgr.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Название проекта: 
D:\DESKTOP\Bootloader\ExpBoot\obj\Release\ExpBoot.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://space.bilibili.com/185636167
Email: ExpBoot@yeah.net, miaione@yeah.net 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >> AR>> AR >> AR>> AR>> AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновления от 11 июля 2019:
Результаты анализов: VT + AR





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Ничего не надо расшифровывать!
Файлы в этой версии не зашифрованы!
Просто удалите расширение .ExpBoot и пользуйтесь дальше. 
Групповое переименование файлов есть в TotalCommander 
Меню "Файл" - "Групповое переименование" - "Расширение" ...
Возьмите для теста небольшую группу файлов. Далее будет понятно. 
 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
  - Видеообзоры атаки ExpBoot Ransomware  
 Thanks: 
 Petrovic, JAMESWT, Marcelo Rivero
 Andrew Ivanov (author)
 ANY.RUN
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 7 июля 2019 г.

Eris

Eris Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa20 + RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке написано ERIS RANSOMWARE. На файле написано: нет данных. Написан на языке Go. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Обнаружения: 
DrWeb -> Trojan.Encoder.28779, Trojan.DownLoader9.27474, Trojan.Encoder.29317
Malwarebytes -> Ransom.Eris
BitDefender -> Gen:Variant.Nebuler.12, Gen:Win32.ProcessHijack.0GZ@aW9BYYei, Gen:Variant.Razy.477853
Avira (no cloud) -> TR/ATRAPS.Gen, TR/RedCap.zrgrn
ESET-NOD32 -> A Variant Of Generik.GGUKEUL, A Variant Of Win32/Filecoder.Eris.B
Malwarebytes -> Ransom.Eris
Symantec -> ML.Attribute.HighConfidence, Downloader


Изображение — только голотип статьи

К зашифрованным файлам добавляется расширение: .ERIS


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: @ READ ME TO RECOVER FILES @.txt

Содержание записки о выкупе: 
***                                                                                  ***
*** READ THIS FILE CAREFULLY TO RECOVERY YOUR FILES ***
***                                                                                  ***
ALL OF YOUR FILES HAVE BEEN ENCRYPTED BY "ERIS RANSOMWARE"!
USING STRONG ENCRYPTION ALGORITHM.
Every your files encrypted with unique strong key using "Salsa20" encryption algorithm:
https://en.wikipedia.org/wiki/Salsa20
Which is protected by RSA-1024 encryption algorithm:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
shadow copy, F8 or recuva and other recovery softwares cannot help you, but cause Irreparable damage to your files!
Technically no way to restore your files without our help.
we only accept cryptocurrency Bitcoin (BTC) as payment method! for cost of decryption service.
https://wikipedia.org/wiki/Cryptocurrency
https://wikipedia.org/wiki/Bitcoin
For speed and easily, please use localbitcoins website to purchase Bitcoin:
https://localbitcoins.com
* WE OFFER YOU 1 FREE FILE DECRYPTION (<1024 KB) WITHOUT ANY COST! TO TRUST OUR HONESTY BEFORE PAYMENT.
  THE SIMPLE FILE MUST NOT BE ARCHIVED!
-----BEGIN ERIS IDENTIFICATION-----
22deCbsMqoTVKmPJ5UrVqKYNC5ptPwaiCxbcnUqQGfMwnfeKSNb65ui3P63iFtVU
iqHBap7sVVsprktGspqZHqVuQiG4XptG9AFWMbBm7gZPr41aLgTxCZsyTVE5cGUr
izcB2fL2otEouPEk1Bx799FPxWwsN68uYB6tEdLTkedvcRyuok8331XR1Mh1kR7R
**********
-----END ERIS IDENTIFICATION-----
=================================================================
   (Decryption Instructions)
1. Send your "ERIS IDENTIFICATION" with one simple of your encrypted files (<1024 KB) to our email address:
   limaooo@cock.li
2. Wait for reply from us.
   (usually in some hour)
3. Confirm your simple files are decrypted correct and ask us how to pay to decrypt all your files.
4. We will send you payment instructions in Bitcoin.
5. You made payment and send us TXID of Bitcoin transfer.
6. After we confirm the payment, you will soon get decryption package and everything back to normal.
* IN CASE OF FOLLOWING OUR INSTRUCTION,
  FAST AND EASILY EVERYTHING IS BACK TO NORMAL LIKE THAT NEVER HAPPENED!
  BUT IF YOU USE OTHER METHODS (THAT NEVER EVER HELPS) YOU JUST DESTROY EVERYTHING FOR GOODNESS!
  BE A SMART AND SAVE YOUR FILES! NOT A FOOL!
=================================================================
===============================
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT MOVE ENCRYPTED FILES
* DO NOT USE RECOVERY SOFTWARES
===============================
=================================================================
(Frequently Asked Questions)
Q: I can not pay for it, what I do now?
A: Format your hard disk, re-install your softwares and start everything from begin!
Q: What a guarantee I can recovery my files after payment?
A: There is no any reason for us to do not give you decryption software and your special key.
   The only our goal is help you not hurt!
=================================================================

Перевод записки на русский язык:
*** ***
*** ПРОЧТИТЕ ЭТОТ ФАЙЛ ВНИМАТЕЛЬНО, ЧТОБЫ ВОССТАНОВИТЬ ФАЙЛЫ ***
*** ***
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ "ERIS RANSOMWARE"!
ИСПОЛЬЗОВАН СИЛЬНЫЙ АЛГОРИТМ ШИФРОВАНИЯ.
Все ваши файлы зашифрованы уникальным ключом с алгоритмом шифрования "Salsa20":
https://en.wikipedia.org/wiki/Salsa20
Который защищен алгоритмом шифрования RSA-1024:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Shadow Copy, F8 или Recuva и другие программы восстановления не помогут вам, но нанесут непоправимый ущерб вашим файлам!
Технически нет способа восстановить ваши файлы без нашей помощи.
Мы принимаем только криптовалюту Биткоин (BTC) как способ оплаты! за стоимость услуги дешифрования.
https://wikipedia.org/wiki/Cryptocurrency
https://wikipedia.org/wiki/Bitcoin
Для скорости и простоты, пожалуйста, используйте сайт localbitcoins для покупки биткоинов:
https://localbitcoins.com
* МЫ ПРЕДЛАГАЕМ ВАМ БЕСПЛАТНУЮ РАСШИФРОВКУ 1 ФАЙЛА (<1024 КБ) БЕЗ ОПЛАТЫ! КАК ДОВЕРИЕ НАШЕЙ ЧЕСТНОСТИ ДО ОПЛАТЫ.
  ПРОСТОЙ ФАЙЛ НЕ ДОЛЖЕН БЫТЬ В АРХИВЕ!
----- НАЧАЛО ERIS ИДЕНТИФИКАЦИИ -----
22deCbsMqoTVKmPJ5UrVqKYNC5ptPwaiCxbcnUqQGfMwnfeKSNb65ui3P63iFtVU
iqHBap7sVVsprktGspqZHqVuQiG4XptG9AFWMbBm7gZPr41aLgTxCZsyTVE5cGUr
izcB2fL2otEouPEk1Bx799FPxWwsN68uYB6tEdLTkedvcRyuok8331XR1Mh1kR7R
**********
----- КОНЕЦ ERIS ИДЕНТИФИКАЦИИ -----
================================================== ===============
   (Инструкция по расшифровке)
1. Отправьте свою "ERIS ИДЕНТИФИКАЦИЮ" с одним простым из ваших зашифрованных файлов (<1024 КБ) на наш email-адрес:
   limaooo@cock.li
2. Ждите ответа от нас.
   (обычно через час)
3. Убедитесь, что ваши простые файлы расшифрованы правильно и спросите нас, как оплатить расшифровку всех ваших файлов.
4. Мы вышлем вам инструкции по оплате в биткоинах.
5. Вы произвели оплату и отправили нам TXID перевода биткоина.
6. После подтверждения оплаты вы вскоре получите пакет для расшифровки и все вернется в норму.
В СЛУЧАЕ СЛЕДОВАНИЯ НАШЕЙ ИНСТРУКЦИИ,
   БЫСТРО И ЛЕГКО ВСЕ ПРИХОДИТ В НОРМУ, ТАКОГО НИКОГДА НЕ БЫЛО!
   НО ЕСЛИ ВЫ ИСПОЛЬЗУЕТЕ ДРУГИЕ МЕТОДЫ (КОТОРЫЕ НИКОГДА НЕ ПОМОГУТ), ВЫ ПРОСТО УНИЧТОЖИТЕ ВСЕ ЦЕННОЕ!
   БУДЬ УМНЫМ И СОХРАНИ СВОИ ФАЙЛЫ! НЕ ДУРИ!
================================================== ===============
===============================
* НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ
* НЕ ПЕРЕМЕЩАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ
* НЕ ИСПОЛЬЗУЙТЕ ПРОГРАММЫ ДЛЯ ВОССТАНОВЛЕНИЯ
===============================
================================================== ===============
(Часто задаваемые вопросы)
Q: Я не могу заплатить за это, что мне делать сейчас?
О: Отформатируйте жесткий диск, переустановите программы и начните все с начала!
В: Какую гарантию, что я восстановлю мои файлы после оплаты?
О: У нас нет никаких причин не предоставлять вам программу для дешифрования и ваш специальный ключ.
   Единственная наша цель - помочь вам не навредить!
================================================== ===============



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Azera EK), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует критическую 0-day уязвимость CVE-2018-15982. Для защиты необходимо установить патч.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
@ READ ME TO RECOVER FILES @.txt
Server.exe
dev_man.exe
<random>.exe - случайное название вредоносного файла
eris.was
l.bat
00000000.pky
00000000.eky
flash.swf

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\eris.was
C:\Windows\00000000.pky
C:\ProgramData\00000000.pky
C:\ProgramData\00000000.eky
C:\dev_man.exe
C:\l.bat

Маркер файлов: 
Оставляет файловый маркер "_FLAG_ENCRYPTED_", добавленный к файлам.

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: limaooo@cock.li
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.


Примечательно, что в раннем варианте, представленном выше email начинался с маленькой буквы "l", а потом его заменили на большую букву "L". limaooo@cock.li - > Limaooo@cock.li

Результаты анализов:
Hybrid analysis >> (файл упакован PECOMPACT)
𝚺  VirusTotal analysis >> 
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 июля 2019:
Пост в Твиттере >>
Расширение: .ERIS
Записка: @ READ ME TO RECOVER FILES @.txt
Email:
Файл EXE: Server.exe
Результаты анализов: VT + HA + VMR

Обновление от 18 августа 2019:
Пост в Твиттере >>
Расширение .ERIS
Записка: @ READ ME TO RECOVER FILES @.txt
Email: unlockme123@protonmail.com
Результаты анализов: VT + AR

Обновление от 23 августа 2019:
Пост в Твиттере >>
Версия: v2.0.3
Расширение: .JUBE2
Записка: HELP-JUBE2.txt


Обновление от 9-10 октября 2019:
Версия: v2.0.3
Пост в Твиттере >>
Расширение: .PO1HG
Записка: HELP-PO1HG.txt
 
Результаты анализов: VT
DNS: extreme-ip-lookup.com
d9d120a3.ngrok.io
www.download.windowsupdate.com




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Eris)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Petrovic
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *