Если вы не видите здесь изображений, то используйте VPN.

пятница, 4 октября 2019 г.

ScareCrow

ScareCrow Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $10 в ETH, чтобы вернуть файлы. Оригинальное название: ScareCrow RansomWare. На файле написано: нет данных.

Обнаружения:
DrWeb -> 
BitDefender -> 
ALYac -> 
Avira (no cloud) -> 
ESET-NOD32 -> 
Malwarebytes -> 
Rising -> 
Symantec -> 
TrendMicro -> 
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> ScareCrow RansomWare


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .scrcrw


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

Содержание записки о выкупе:
Hey! We encrypted your files!
---------------------------
What happened to my files?
---------------------------
We encrypted your files with a military grade algorithm, you can decrypt them only with a unique password!
---------------------------
How can i recover my files?
---------------------------
You can recover your files paying $10 in ETH at the following ETH address: 0x357fd0e7ac5421218c4ede5b3239d4e38d6ed019
Then you need to send an email to *** with a payment proof and your serial number, in 24/48 hours we will give you your password.
---------------------------
Why should i trust you?
---------------------------
For us you are only a victim in thousands, why should we scam you?
Our only goal is to have $10 and then we will decrypt all your files.
---------------------------
What is ETH?
---------------------------
The Ethereum platform is in effect a "super" distributed computer, for distributed computers we mean a global and decentralized network of computers that interact with each other sharing computational power (computing power) in order to verify transactions.
This high computational power has given the possibility to build an open-source, public and P2P (peer-to-peer) platform which, through the use of EVM (Ethereum Virtual Machine), provides users with the possibility of writing, with the Turing-complete language, smart contracts.
We know, it's a little difficult to understand, but it's simple, it's a cryptocurrency.
---------------------------
Where can i buy it?
---------------------------
You can buy Ethereum from a lot of websites, here is some:
-Coinbase (only USA. Europe and Canada) HIGHLY RECCOMENDED WEBSITE
-Coinmama
-Bit Panda (only Europe)
-CEX.io (really slow confirmation time)
---------------------------
I have the password, how can i recover my files?
---------------------------
To recover your files you need to insert the file directory (ie: C:\Users\Lory\Desktop\myfile.txt.scrcrw) and press Decrypt,
then you can rename the file and delete the .scrcrw extension.


Перевод записки на русский язык:
Привет! Мы зашифровали ваши файлы!
---------------------------
Что случилось с моими файлами?
---------------------------
Мы зашифровали ваши файлы с алгоритмом военного уровня, вы можете расшифровать их только с помощью уникального пароля!
---------------------------
Как я могу восстановить мои файлы?
---------------------------
Вы можете восстановить свои файлы, заплатив $10 в ETH на следующий ETH-адрес: 0x357fd0e7ac5421218c4ede5b3239d4e38d6ed019
Затем вам надо отправить email на *** с подтверждением оплаты и вашим серийным номером, и в течение 24/48 часов мы сообщим вам ваш пароль.
---------------------------
Почему я должен доверять тебе?
---------------------------
Для нас вы всего лишь жертва из тысяч, почему мы должны вас обманывать?
Наша единственная цель - получить $10 и тогда мы расшифруем все ваши файлы.
---------------------------
Что такое ETH?
---------------------------
Платформа Ethereum по сути является распределенным "супер" компьютером, под распределенными компьютерами мы подразумеваем глобальную и децентрализованную сеть компьютеров, которые взаимодействуют друг с другом, разделяя вычислительную мощность (вычислительную мощность) для проверки транзакций.
Эта высокая вычислительная мощность дала возможность создать общедоступную платформу с открытым исходным кодом и P2P (peer-to-peer) платформу, которая благодаря использованию EVM (Ethereum Virtual Machine) предоставляет пользователям возможность писать с помощью Turing - полный язык, умные контракты.
Мы знаем, это немного сложно понять, но это просто, это криптовалюта.
---------------------------
Где я могу это купить?
---------------------------
Вы можете купить Ethereum на многих сайтах, вот некоторые из них:
-Coinbase (только США. Европа и Канада) РЕКОМЕНДУЕМЫЙ САЙТ
-Coinmama
-Bit Panda (только Европа)
-CEX.io (очень медленное время подтверждения)
---------------------------
У меня есть пароль, как я могу восстановить мои файлы?
---------------------------
Чтобы восстановить ваши файлы, вам нужно открыть каталог с файлами (например: C:\Users\Lory\Desktop\myfile.txt.scrcrw) и нажать Decrypt,
Затем вы можете переименовать файл и удалить расширение .scrcrw.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: скрыт исследователем
ETH: 0x357Fd0e7ac5421218c4ede5b3239d4e38d6ed019
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ScareCrow)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Mike, Not STOP!

"Mike NotSTOP!" Ransomware

HildaCrypt-Stahp Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные с помощью AES +RSA, а затем требует выкуп в $980, чтобы получить программу расшифровки и расшифровать файлы. Оригинальное название: в записке не указано. На файле написано: что попало. На основе платформы .Net. На городском слэнге "Stahp" - Stop that ("Останови это", "Прекрати" - отсюда название последнего варианта HildaCrypt-Stahp). 

Обнаружения:
DrWeb -> Trojan.MulDrop11.18818
BitDefender -> Trojan.GenericKD.41866021
Malwarebytes -> Ransom.HildaCrypt

© Генеалогия: ✂️ STOP-Djvu + ✂️ HildaCrypt >> Mike NotSTOP! (HildaCrypt-Stahp)
Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .mike

1) Почему это не STOP_Djvu Ransomware? (ссылка на твит)
Формат зашифрованного файла отличается от STOP-Djvu. 
Нет файлового маркера или идентификатора в конце файла. 
Вместо него в заголовке записан "0200" и оригинальный размер файла.  
ID в записке, кажется, неизменен для каждого запуска.
Нет соединений с командно-контрольным сервером.

2) Почему это не STOP_Djvu Ransomware? (ссылка на статью)
Кто-то от имени разработчика или сам разработчик позже сообщил, что он делает шифровальщики для своего удовольствия и не пытается зашифровать файлы для получения выкупа. Странное удовольствие, видимо, как и сам разработчик. Мы не собираемся верить кому-то на слово, потому ранее написанная статья остается на своем месте с необходимыми пояснениями и ссылками. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в начале октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Вымогатель скопировал записку из STOP Ransomware последних версий. Мы не знаем что думать. Кто-то потешается или поторопился и не написал свою записку о выкупе со своими контактами для связи. Изменен только ID, но он кажется общим на всех исследованных образцах. 

Записка с требованием выкупа называется: _readme.txt

Содержание записки о выкупе:
ATTENTION!
Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-UV4s8jgncB
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
gorentos@bitmessage.ch
Reserve e-mail address to contact us:
gerentoshelp@firemail.cc
Your personal ID:
PtvJag4t9UH4xQK3hJ6uNwm2pRiSeFwPEyjpisZ2BExzgUpmmuJrVXNQ

Перевод записки на русский язык:
ВНИМАНИЕ!
Не волнуйтесь, вы можете вернуть все свои файлы!
Все ваши файлы, такие как фото, базы данных, документы и другие важные, зашифрованы с самым надежным шифрованием и уникальным ключом.
Единственный способ вернуть файлы - купить инструмент дешифрования и уникальный ключ для вас.
Эта программа расшифрует все ваши зашифрованные файлы.
Какие у вас гарантии?
Вы можете отправить один из ваших зашифрованных файлов с вашего компьютера, и мы расшифруем его бесплатно.
Но мы можем расшифровать только 1 файл бесплатно. Файл не должен содержать ценную информацию.
Вы можете получить и просмотреть видеообзор инструмента расшифровки:
https://we.tl/t-UV4s8jgncB
Цена на закрытый ключ и программу расшифровки составляет $980.
Скидка 50% доступна, если вы связываетесь с нами в первые 72 часа, цена для вас составит $490.
Заметьте, что вы никогда не вернете свои данные без оплаты.
Проверьте в вашем email папки "Spam" и "Junk", если вы не получили ответ более 6 часов.
Чтобы получить эту программу, вам надо написать на наш email:
gorentos@bitmessage.ch
Резервный email-адрес, чтобы связаться с нами:
gerentoshelp@firemail.cc
Ваш личный ID:
PtvJag4t9UH4xQK3hJ6uNwm2pRiSeFwPEyjpisZ2BExzgUpmmuJrVXNQ



Технические детали

На момент написания статьи нет точных данных о распространении. Возможно, как и сообщал сам разработчик, он не распространялся для вымогания выкупа. Но, как и любая программа-шифровальщик, мог зашифровать чьи-то файлы и нанести вред. 

Если кто-то захочет перекомпилировать программу, то может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск. 


➤ Удаляет теневые копии файлов на перечисленных ниже дисках, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures
vssadmin Delete Shadows /all /quiet

➤ Перед шифрованием останавливает системные службы Windows командами:

net stop SQLAgent$SYSTEM_BGC /y
net stop “Sophos Device Control Service” /y
net stop macmnsvc /y
net stop SQLAgent$ECWDB2 /y
net stop “Zoolz 2 Service” /y
net stop McTaskManager /y
net stop “Sophos AutoUpdate Service” /y
net stop “Sophos System Protection Service” /y
net stop EraserSvc11710 /y
net stop PDVFSService /y
net stop SQLAgent$PROFXENGAGEMENT /y
net stop SAVService /y
net stop MSSQLFDLauncher$TPSAMA /y
net stop EPSecurityService /y
net stop SQLAgent$SOPHOS /y
net stop “Symantec System Recovery” /y
net stop Antivirus /y
net stop SstpSvc /y
net stop MSOLAP$SQL_2008 /y
net stop TrueKeyServiceHelper /y
net stop sacsvr /y
net stop VeeamNFSSvc /y
net stop FA_Scheduler /y
net stop SAVAdminService /y
net stop EPUpdateService /y
net stop VeeamTransportSvc /y
net stop “Sophos Health Service” /y
net stop bedbg /y
net stop MSSQLSERVER /y
net stop KAVFS /y
net stop Smcinst /y
net stop MSSQLServerADHelper100 /y
net stop TmCCSF /y
net stop wbengine /y
net stop SQLWriter /y
net stop MSSQLFDLauncher$TPS /y
net stop SmcService /y
net stop ReportServer$TPSAMA /y
net stop swi_update /y
net stop AcrSch2Svc /y
net stop MSSQL$SYSTEM_BGC /y
net stop VeeamBrokerSvc /y
net stop MSSQLFDLauncher$PROFXENGAGEMENT /y
net stop VeeamDeploymentService /y
net stop SQLAgent$TPS /y
net stop DCAgent /y
net stop “Sophos Message Router” /y
net stop MSSQLFDLauncher$SBSMONITORING /y
net stop wbengine /y
net stop MySQL80 /y
net stop MSOLAP$SYSTEM_BGC /y
net stop ReportServer$TPS /y
net stop MSSQL$ECWDB2 /y
net stop SntpService /y
net stop SQLSERVERAGENT /y
net stop BackupExecManagementService /y
net stop SMTPSvc /y
net stop mfefire /y
net stop BackupExecRPCService /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop klnagent /y
net stop MSExchangeSA /y
net stop MSSQLServerADHelper /y
net stop SQLTELEMETRY /y
net stop “Sophos Clean Service” /y
net stop swi_update_64 /y
net stop “Sophos Web Control Service” /y
net stop EhttpSrv /y
net stop POP3Svc /y
net stop MSOLAP$TPSAMA /y
net stop McAfeeEngineService /y
net stop “Veeam Backup Catalog Data Service” /y
net stop MSSQL$SBSMONITORING /y
net stop ReportServer$SYSTEM_BGC /y
net stop AcronisAgent /y
net stop KAVFSGT /y
net stop BackupExecDeviceMediaService /y
net stop MySQL57 /y
net stop McAfeeFrameworkMcAfeeFramework /y
net stop TrueKey /y
net stop VeeamMountSvc /y
net stop MsDtsServer110 /y
net stop SQLAgent$BKUPEXEC /y
net stop UI0Detect /y
net stop ReportServer /y
net stop SQLTELEMETRY$ECWDB2 /y
net stop MSSQLFDLauncher$SYSTEM_BGC /y
net stop MSSQL$BKUPEXEC /y
net stop SQLAgent$PRACTTICEBGC /y
net stop MSExchangeSRS /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop McShield /y
net stop SepMasterService /y
net stop “Sophos MCS Client” /y
net stop VeeamCatalogSvc /y
net stop SQLAgent$SHAREPOINT /y
net stop NetMsmqActivator /y
net stop kavfsslp /y
net stop tmlisten /y
net stop ShMonitor /y
net stop MsDtsServer /y
net stop SQLAgent$SQL_2008 /y
net stop SDRSVC /y
net stop IISAdmin /y
net stop SQLAgent$PRACTTICEMGT /y
net stop BackupExecJobEngine /y
net stop SQLAgent$VEEAMSQL2008R2 /y
net stop BackupExecAgentBrowser /y
net stop VeeamHvIntegrationSvc /y
net stop masvc /y
net stop W3Svc /y
net stop “SQLsafe Backup Service” /y
net stop SQLAgent$CXDB /y
net stop SQLBrowser /y
net stop MSSQLFDLauncher$SQL_2008 /y
net stop VeeamBackupSvc /y
net stop “Sophos Safestore Service” /y
net stop svcGenericHost /y
net stop ntrtscan /y
net stop SQLAgent$VEEAMSQL2012 /y
net stop MSExchangeMGMT /y
net stop SamSs /y
net stop MSExchangeES /y
net stop MBAMService /y
net stop EsgShKernel /y
net stop ESHASRV /y
net stop MSSQL$TPSAMA /y
net stop SQLAgent$CITRIX_METAFRAME /y
net stop VeeamCloudSvc /y
net stop “Sophos File Scanner Service” /y
net stop “Sophos Agent” /y
net stop MBEndpointAgent /y
net stop swi_service /y
net stop MSSQL$PRACTICEMGT /y
net stop SQLAgent$TPSAMA /y
net stop McAfeeFramework /y
net stop “Enterprise Client Service” /y
net stop SQLAgent$SBSMONITORING /y
net stop MSSQL$VEEAMSQL2012 /y
net stop swi_filter /y
net stop SQLSafeOLRService /y
net stop BackupExecVSSProvider /y
net stop VeeamEnterpriseManagerSvc /y
net stop SQLAgent$SQLEXPRESS /y
net stop OracleClientCache80 /y
net stop MSSQL$PROFXENGAGEMENT /y
net stop IMAP4Svc /y
net stop ARSM /y
net stop MSExchangeIS /y
net stop AVP /y
net stop MSSQLFDLauncher /y
net stop MSExchangeMTA /y
net stop TrueKeyScheduler /y
net stop MSSQL$SOPHOS /y
net stop “SQL Backups” /y
net stop MSSQL$TPS /y
net stop mfemms /y
net stop MsDtsServer100 /y
net stop MSSQL$SHAREPOINT /y
net stop WRSVC /y
net stop mfevtp /y
net stop msftesql$PROD /y
net stop mozyprobackup /y
net stop MSSQL$SQL_2008 /y
net stop SNAC /y
net stop ReportServer$SQL_2008 /y
net stop BackupExecAgentAccelerator /y
net stop MSSQL$SQLEXPRESS /y
net stop MSSQL$PRACTTICEBGC /y
net stop VeeamRESTSvc /y
net stop sophossps /y
net stop ekrn /y
net stop MMS /y
net stop “Sophos MCS Agent” /y
net stop RESvc /y
net stop “Acronis VSS Provider” /y
net stop MSSQL$VEEAMSQL2008R2 /y
net stop MSSQLFDLauncher$SHAREPOINT /y
net stop “SQLsafe Filter Service” /y
net stop MSSQL$PROD /y
net stop SQLAgent$PROD /y
net stop MSOLAP$TPS /y
net stop VeeamDeploySvc /y
net stop MSSQLServerOLAPService /y

Список файловых расширений, подвергающихся шифрованию:
 .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asmx, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .config, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csproj, .csv, .dac, .db, .db3, .dbf, .db-journal, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jpe, .jpeg, .jpg, .jsp, .kbx, .kc2, .kdbx, .kdc, .key, .kpdx, .lnk, .lua, .m, .m4v, .manifest, .max, .md, .mdb, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbl, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .php5, .phtml, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tib, .tif, .tlg, .txt, .vb, .vbproj, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (339 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
34gfwhqjjgtuiudu.exe
_readme.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: gorentos@bitmessage.ch, gerentoshelp@firemail.cc
BTC: ---
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Список шифровальщиков от одного разработчика: 
Viagra Ransomware
BWall Ransomware
HildaCrypt (v.1, 1.1, 1.2) Ransomware
HildaCrypt-Stahp Ransomware



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно расшифровать!
Скачайте дешифровщик Emsisoft Decryptor for HildaCrypt >>
*
*
 Read to links: 
 Tweet on Twitter + Tw + Tw + Tw + myTweet
 ID Ransomware (ID as HildaCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 HildaCrypt dev
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 3 октября 2019 г.

Pay-or-Lost Ransomware

Pay-or-Lost Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-4096 (со слов вымогателей), а затем требует выкуп в 0.06 BTC, чтобы вернуть файлы. Но не указывает никаких контактов для связи и адреса для уплаты выкупа. Оригинальное название: в записке не указано. На файле написано: $safeprojectname$.exe и svchost. 

Обнаружения:
DrWeb -> Trojan.Encoder.29644
BitDefender -> Generic.Ransom.Hiddentear.A.4D4E1E2C
Malwarebytes -> Trojan.Dropper.Generic
Kaspersky -> Not-a-virus:HEUR:AdWare.MSIL.ConvertAd.g
Symantec -> PUA.Gen.2
TrendMicro -> TROJ_GEN.R002C0WIQ19
Tencent -> Win32.Trojan.Falsesign.Pgwg
ESET-NOD32 -> A Variant Of MSIL/Filecoder.UY

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи

Возможно, что к зашифрованным файлам добавляется расширение: .kkk


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя юыл найден в начале октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Возможно, сделано в Малайзии. 

Тестовая записка с требованием отсутствует. 
Запиской с требованием выкупа выступает экран блокировки: 

Содержание текста о выкупе:
If you are reading this text, it means, we've hacked your corporate network.
Now all your data is encrypted with very serious and powerful algorithms (AES256 and RSA-4,096).
These algorithms now in use in military intelligence, NSA and CIA .
No one can help you to restore your data without our special decipherer.
Don't even waste your time.
But there are good news for you.
We don't want to do any damage to your business.
We are working for profit.
The core of this criminal business is to give back your valuable data in the original form (for ransom of course).
Please do not start your first letter to us with the words:It's a mistake !! Our company is just trimming and grooming little dogs.
We don't have money at all.
There is a big mistake on our site !We are not leaders in our industry and all our competitors don't suck our huge dick.
We're just ? small company, and we are dying because of hard competition.
We are not the Super Mega International Corporation ltd., we are just a nursery etc.
We see it 5 times a day.
This shit doesn't work at all !!!
Don't waste our and your time.
Remember ! We don't work for food.
You have to pay for decryption in Bitcoins (BTC).
If you think you pay $100 and you'll get the decryptor, you are 50 million light years away from reality :)
The ransom begins from 0.06 BTC up to USD 600++.
If you don't have money don't even write to us.
We don't do charity !
Man is the master of everything and decides everything.

Перевод текста на русский язык:
Если вы читаете этот текст, значит, мы взломали вашу корпоративную сеть.
Теперь все ваши данные зашифрованы с очень серьезными и мощными алгоритмами (AES256 и RSA-4096).
Эти алгоритмы сейчас используются в военной разведке, АНБ и ЦРУ.
Никто не может помочь вам восстановить ваши данные без нашего специального расшифровщика.
Даже не теряйте свое время.
Но есть и хорошие новости для вас.
Мы не хотим наносить ущерб вашему бизнесу.
Мы работаем для получения прибыли.
Суть этого криминального бизнеса в том, чтобы вернуть ваши ценные данные в первоначальном виде (за выкуп, конечно).
Пожалуйста, не начинайте свое первое письмо со словами: это ошибка !! Наша компания занимается отделкой и уходом за собачками.
У нас нет денег вообще.
На нашем сайте есть большая ошибка! Мы не лидеры в своей отрасли, и все наши конкуренты не со*** наш огромный ****.
Мы просто? маленькая компания, и мы умираем из-за жесткой конкуренции.
Мы не Super Mega International Corporation ltd., Мы просто питомник и т. Д.
Мы видим это 5 раз в день.
Это дерьмо вообще не работает !!!
Не трать наше и свое время.
Помните ! Мы не работаем за еду.
Вы должны заплатить за дешифрование в биткойнах (BTC).
Если вы думаете, что заплатите 100$ и получите расшифровщик, вы на расстоянии 50 миллионов световых лет от реальности :)
Выкуп начинается с 0,06 BTC до 600$ США ++.
Если у вас нет денег, даже не пишите нам.
Мы не занимаемся благотворительностью!
Человек - хозяин всего и все решает.

---

Дополнительно, совет от разработчика:
The first step to take is to always backup your system. Locally, and offsite.
This is essential. First, it will keep your information backed up in a safe area that hackers cannot easily access. Secondly, it will make it easier for you to wipe your old system and repair with backup files in case of an attack.
Failure to back up your system can cause irreparable damage.
Use a cloud backup solution to protect your data. By protecting your data in the cloud, you keep it safe from infection by ransomware. Cloud backups introduce redundancy and add an extra layer of protection.
Have multiple backups just in case the last back up got overwritten with encrypted ransomware files.


Перевод текста на русский язык:
Первый шаг - всегда делать резервную копию вашей системы. Локально и вне офиса.
Это важно. Во-первых, ваша информация будет храниться в безопасном месте, к которому хакеры не могут получить легкий доступ. Во-вторых, вам будет проще стереть старую систему и восстановить файлы резервных копий в случае атаки.
Отсутствие резервной копии вашей системы может нанести непоправимый ущерб.
Используйте решение облачного резервного копирования для защиты ваших данных. Защищая ваши данные в облаке, вы защищаете их от заражения вымогателями. Резервное копирование в облаке создает излишек и добавляет дополнительный уровень защиты. 
Создайте несколько резервных копий на случай, если последняя резервная копия была перезаписана файлами, зашифрованными Ransomware.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
$safeprojectname$.exe
$safeprojectname$.pdb
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%DESKTOP%\hythty
C:\Users\Illegear\Desktop\svchost\obj\x86\Debug\$safeprojectname$.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: alrajhicashbiz24seven.com.my
DNS: ec2-52-220-60-155.ap-southeast-1.compute.amazonaws.com
Email (фиктивный): testing@example.com
BTC (фиктивный): s4C6MPmpk4AXNVVUWtfG6JWvjPfENVv8k5
Если контакты фиктивные, то уплата выкупа бесполезна. 

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7 октября 2019:
Пост в Твиттере >>
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *