Если вы не видите здесь изображений, то используйте VPN.

четверг, 9 января 2020 г.

BitPyLock

BitPyLock Ransomware

BitPyLock Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.8 - 5 BTC, чтобы вернуть файлы. Оригинальное название: в ранней записке не было указано. На файле написано: Program.exe. Название для статьи и идентификации получил по раннему используемому расширению. 

Вымогатели, распространяющие BitPyLock, могут публиковать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). 

Обнаружения:
DrWeb -> Trojan.Encoder.30536, Trojan.Encoder.30962
BitDefender -> Trojan.GenericKD.32891379, Trojan.GenericKD.32924962, Trojan.GenericKD.42303668
Malwarebytes -> Ransom.Bitpy
McAfee -> RDN/Ransom
Rising -> Ransom.Gen!8.DE83 (CLOUD), Trojan.Filecoder!8.68 (CLOUD)
Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.2
ALYac -> Trojan.Ransom.BitPyLock
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: KrakenCryptor + BackDoor.Bifrost.19762 (по кл. Dr.Web) >> BitPyLock


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .bitpy

Позже стало использоваться расширение по доменному имени сайта или внутреннему домену локальной сети пострадавшей компании или организации. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на конец декабря 2019 - начало января 2020 г., но продолжилась и позже. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: # HELP_TO_DECRYPT_YOUR_FILES #.html


Оригинальная записка о выкупе
html-код этой записки

Содержание записки о выкупе:
All your files are encrypted!
All your files, including, but not limited to:
Photos, videos, databases and office projects have been encrypted
- using strong military grade encryption algorithms AES-256 and RSA-2048.
Recovery tools and other software will not help you!
Don't find your backups? because they have been successfully encrypted too or securly wiped!
The only way to recover your files, are to meet our demands.
1. Create a Bitcoin wallet (we recommend you to create on Blockchain.com)
2. Register on LocalBitcoins.com (or any other Bitcoin exchange), then buy 0.8 Bitcoin (BTC).
3. Send Bitcoins to our wallet below (in case sensitive. Make sure you copy past it):
1NAaH4rWww9yBUndSggQpQBLte5w927Jaj
4. Send Bitcoin Transaction ID to our e-mail address along with your "Private ID" below of this page:
helpbitpy@cock.li
5. You will receive the tools needed to decrypt all of your files immediately!
Note: Before payment you can contact with us for 1 free small file as decryption test!
Be warned, we won't be able to recover your files if you start fiddling with them!
You have 72 hours (3 days) from this moment to send us payment, or you files will be lost in eternity!
Private ID:
lk4e75d+JvZP3NXUJfhe9i3W3qxfCH4uM6PEBZOFkHmNzFQqc+*** [всего 344 знака]

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы, включая, но не ограничивая:
Фотографии, видео, базы данных и офисные проекты были зашифрованы
- использование надежных алгоритмов шифрования военного класса AES-256 и RSA-2048.
Инструменты восстановления и другие программы вам не помогут!
Не нашли свои резервные копии? потому что они были успешно зашифрованы или надежно стерты!
Единственный способ восстановить ваши файлы - это удовлетворить наши требования.
1. Создайте биткойн-кошелек (мы рекомендуем создать его на Blockchain.com)
2. Зарегистрируйтесь на LocalBitcoins.com (или на любой другой бирже биткоинов), затем купите 0,8 биткойна (BTC).
3. Отправьте биткойны на наш кошелек ниже (с учетом регистра. Убедитесь, что вы копируете его):
1NAaH4rWww9yBUndSggQpQBLte5w927Jaj
4. Отправьте ID транзакции Bitcoin на наш адрес email вместе с вашим "Личным ID" ниже на этой странице:
helpbitpy@cock.li
5. Вы получите инструменты, необходимые для немедленной расшифровки всех ваших файлов!
Примечание: перед оплатой вы можете связаться с нами, чтобы получить 1 бесплатный небольшой файл в качестве теста расшифровки!
Имейте в виду, мы не сможем восстановить ваши файлы, если вы начнете возиться с ними!
С этого момента у вас есть 72 часа (3 дня) для отправки нам платежа, иначе ваши файлы будут потеряны навсегда!
Частный ID:
lk4e75d+JvZP3NXUJfhe9i3W3qxfCH4uM6PEBZOFkHmNzFQqc+*** [всего 344 знака]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит, требуется разрешение на запуск.


 При первом запуске BitPyLock попытается завершить любые процессы из следующего списка, чтобы можно было зашифровать файлы, связанные с ними: 
backup, cobain, drop, drive, sql, database, vmware, virtual, agent, anti, iis, web, server, apache

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkf, .bkp, .blend, .bpw, .c, .cab, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .chm, .cib, .class, .cls, .cmt, .cnf, .conf, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .dat, .data, .db, .db3, .dbf, .db-journal, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .frx, .fxg, .gif, .gray, .grey, .gry, .gz, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jin, .jpe, .jpeg, .jpg, .js, .jse, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .log, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tif, .tlg, .txt, .vb, .vbs, .vmdk, .vmem, .vmsd, .vmsn, .vmx, .vmxf, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv, .zip (346 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании BitPyLock пропускает любые файлы, находящиеся в следующих папках:
Windows
Windows.old
Program files
Program files (x86)
Program data
$Recycle.bin
System Volume Information

Файлы, связанные с этим Ransomware:
Program.exe
# HELP_TO_DECRYPT_YOUR_FILES #.html
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helpbitpy@cock.li
BTC: 1NAaH4rWww9yBUndSggQpQBLte5w927Jaj
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9 января 2020:
Пост в Твиттере >>
Еще один вариант записки с темным фоном. 
Данные скрыты исследователем. 


Обновление от 28 января 2020: 
Топик на форуме >>
Расширение (шаблон): .<domain_name>
Расширение: (пример): .mydomain
Записка: # HELP_TO_DECRYPT_YOUR_FILES #.html
Email: pay4netwww@protonmail.com
BTC: 1PsDH9eCUx11KCCD6PsvzfPmfc7BmfhamT
Файл: network.exe: agent.exe, easy.exe
Результаты анализов: VT + AR + IA (IA, IA, IA)
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30962
BitDefender -> Trojan.GenericKD.42303668
Symantec -> ML.Attribute.HighConfidence
➤ Содержание записки:
All your files are encrypted!
If you read this message. That means we've been able to break into your network and encrypt all your machines.
All your files on all network machines, including, but not limited to:
Documents, databases, and office projects have been encrypted using strong military grade encryption algorithm RSA-4096.
Break it is impossible! and any effort is a waste of time!
Recovery tools and other software will not help you!
Don't find your backups? because they have been successfully encrypted too or securly wiped!
The only way to recover your files, are to meet our demand.
1. Create a Bitcoin wallet (we recommend you to create on Blockchain.com)
2. Register on LocalBitcoins.com (or any other Bitcoin exchange), then buy 4 Bitcoin (BTC).
3. Send Bitcoins to our wallet below (in case sensitive. Make sure you copy past it):
1PsDH9eCUx11KCCD6PsvzfPmfc7BmfhamT
4. Send Bitcoin Transaction ID to our e-mail address along with our wallet address you pay!
pay4netwww@protonmail.com
5. You will receive the tools needed to decrypt all of your machines and files!
Note: Before payment you can contact with us for 1 free small file as decryption test!
Be warned, we won't be able to recover your files if you start fiddling with them!
If you do not wish to negotiate with us. We will make your company's private papers and databases public. This's not a joke!
You have 72 hours from this moment to send us payment, or you files and the way we communicate will be lost in eternity!






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as BitPyLock)
 Write-up, Topic of Support
 * 
Added later:
Write-up by BleepingComputer (on January 21, 2020)
***
***
 Thanks: 
 MalwareHunterTeam, Michael Gillespie, 
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 8 января 2020 г.

CheckMail7

CheckMail7 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.30523
BitDefender -> Trojan.GenericKD.32917734
ESET-NOD32 -> Win32/Filecoder.NZW
Kaspersky -> HEUR:Trojan-Ransom.Win32.CryFile.gen
Malwarebytes -> 
Rising -> Ransom.CryFile!8.20D (KTSE)
Symantec -> Downloader
Tencent -> Win32.Trojan.Filecoder.Swus
TrendMicro -> Ransom.Win32.CHECKMAIL.THAOIBO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> CheckMail7


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .checkmail7@protonmail

Примеры зашифрованных файлов


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: warning.txt

Содержание записки о выкупе:
All your personal files on this computer are locked and encrypted. The encrypting has been done by professional software and your files such as; photo's, video's and cryptocurrency wallets are not damaged but just not readable for now.
The encrypted files can only be unlocked until 2 days from this moment. If the key isnot obtained before that moment it will be destroyed and you will not be able to open your files ever again.
Obtaining your unique private key is easy just pay a small amount. Write us to email: checkmail7@protonmail.com

Перевод записки на русский язык:
Все ваши личные файлы на этом компьютере заблокированы и зашифрованы. Шифрование было выполнено профессиональным программным обеспечением и вашими файлами, такими как; кошельки фото, видео и криптовалюты не повреждены, но пока не читаются.
Зашифрованные файлы можно разблокировать только в течение 2 дней с этого момента. Если ключ не будет получен до этого момента, он будет уничтожен, и вы больше не сможете открыть свои файлы.
Получить уникальный закрытый ключ очень просто, заплатив небольшую сумму. Напишите нам на почту: checkmail7@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Изменяет значение автозапуска в реестре — добавляется в Автозагрузку Windows.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
warning.txt - название файла с требованием выкупа
2020-01-08 114318.exe - исполняемый файл
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: checkmail7@protonmail 
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decrypter для дешифровки >>
Прочтите подробную инструкцию перед запуском. 
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as CheckMail7)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Ravi, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 7 января 2020 г.

Snake-Ekans

Snake-Ekans Ransomware

Ekans-Snake Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные атакованной корпоративной сети с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: update.exe. Написан на Golang. 
---
Обнаружения:
DrWeb 
-> Trojan.PWS.Siggen2.41204, Trojan.Encoder.30786, Trojan.Encoder.31986
BitDefender -> Gen:Win32.AV-Killer.ItW@aei5Gqj
ESET-NOD32 -> A Variant Of Generik.EABZHLK
Kaspersky -> Trojan.Win32.Antavmu.asdd
McAfee -> Trojan-Ransom.b
Symantec -> ML.Attribute.HighConfidence, Downloader
---

© Генеалогия: предыдущие Go Ransomware >> Ekans-Snake

К зашифрованным файлам никакое расширение не добавляется. Вместо расширения в зашифрованным файлам добавляется файловый маркет EKANS. это слов представляет собой обратно прочитанное "Snake" (англ. змея). Это было взято в название статьи и написано на логотипе статьи.

Изображение — логотип статьи

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2019 - начало января 2020 г. Первая загрузка на VT была 26 декабря 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Fix-your-files.txt


Содержание записки о выкупе:
What happened to your files?
---
We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more -
all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now.
But dont worry!
You can still get those files back and be up and running again in no time.
---
How to contact us to get your files back?
---
The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.
Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with
better cyber security in mind, if you are interested in purchasing the decryption tool contact us atc bapcocrypt@ctemplar.com
---
How can you be certain we have the decryption tool?
---
In your mail to us attach up to 3 files (up to 3MB, no databases or spreadsheets),
We will send them back to you decrypted.

Перевод записки на русский язык:
Что случилось с вашими файлами?
---
Мы взломали вашу корпоративную сеть и зашифровали данные на ваших компьютерах. Зашифрованные данные включают в себя документы, базы данных, фотографии и многое другое -
все они были зашифрованы с алгоритмами шифрования военного уровня (AES-256 и RSA-2048). Вы не можете получить доступ к этим файлам прямо сейчас.
Но не волнуйтесь!
Вы все еще можете вернуть эти файлы и быстро начать работу.
---
Как связаться с нами, чтобы вернуть ваши файлы?
---
Единственный способ восстановить ваши файлы - это приобрести инструмент дешифрования, загруженный закрытым ключом, который мы создали специально для вашей сети.
После запуска на затронутом компьютере инструмент расшифрует все зашифрованные файлы, и вы сможете возобновить повседневные операции, желательно с лучшей кибербезопасностью, если вы заинтересованы в приобретении инструмента дешифрования, свяжитесь с нами по адресу bapcocrypt@ctemplar.com
---
Как вы можете быть уверены, что у нас есть инструмент для расшифровки?
---
В вашей почте к нам прикрепите до 3 файлов (до 3 МБ, без баз данных или электронных таблиц),
Мы отправим их вам обратно в расшифрованном виде.



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Между выполнением вредоносного файла и началом шифрования файлов может пройти несколько часов. По какой-то причине этот вредонос не торопится шифровать файлы.

➤ В конце зашифрованных файлов есть файловый маркер: EKANS

 

Список файловых расширений, подвергающихся шифрованию:
Все файлы, кроме тех, что находятся в списке пропускаемых. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые расширения: 
.bat, .blf, .cmd, .config, .devicemetadata-ms, .dll, .docx, .exe, .ico, .lnk, .manifest, .mui, .olb, .ps1, .regtrans-ms, .settingcontent-ms, .sys, .tlb, .tmp, 

Пропускаемые файлы:
desktop.ini
iconcache.db
ntuser.dat
ntuser.ini
ntuser.dat.log1
ntuser.dat.log2
usrclass.dat
usrclass.dat.log1
usrclass.dat.log2
ntldr
NTDETECT.COM
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
ctfmon.exe
iconcache.db
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db

Пропускаемые папки с файлами:
bootmgr
bootnxt
windir
SystemDrive
:\$Recycle.Bin
:\ProgramData
:\Users\All Users
:\Program Files
:\Local Settings
:\Boot
:\System Volume Information
:\Recovery
\AppData\

Файлы, связанные с этим Ransomware:
Fix-your-files.txt
crypt.go
update.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс:
EKANS

Публичный RSA-ключ:
-----BEGIN RSA PUBLIC KEY-----
MIIBCgKCAQEAyQ+M5ve829umuy9+BSsUX/krgdF83L3m8/uxRvKX5EZbSh1+buON
ZYr5MjfhrdiOGnrbB1j0Fy31U/uzvWcy7VvK/zcsO/5aAhujhHB/qMAVpZ8zT5BB
ujT1Bvsith/BXgtM99MixD8oZ67VDZaRM9TPE89WuAjnaBZORrk48wFcn1DOAAHD
Z9z9komtqIH1fm3Y0Q6P76nUscLsYOme082L217Th/lTMoqqs4cF2rn9O9Vp4V9U
aCs4XVxGSpcuqbIscfpf0cm44P2eOEk+sbZdahO9C6fezt7YF4OCJ4Vz3qqMD6z4
+6d7FRxUu6k3Te2T2bWBZnsDO30pYFi/gwIDAQAB
-----END RSA PUBLIC KEY-----

Сетевые подключения и связи:
Email: bapcocrypt@ctemplar.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >> - reanalyze IA> + IA>
ᕒ  ANY.RUN analysis >>  AR> AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 9 января 2020:

Пост в Твиттере >>
Записка: Fix-Your-Files.txt
Мьютекс: Down With Bin Salman
Файл проекта: C:\Users\Admin\Desktop\Dustman\Furutaka\drv\agent.plain.pdb

Обновление от 12 января 2020:
Мьютекс: EKANS
Результаты анализов: VT + IA + AR + VMR + JSA

Обновление от 12 июня 2020:
Статья на сайте BleepingComputer >>
Результаты анализов: VT + IA + JSA
➤ Обнаружения:
ALYac -> Trojan.Ransom.SnakeLocker
Avast/AVG -> Win32:Trojan-gen
Avira (no cloud) -> TR/Injector.ryxmy
BitDefender -> Gen:Variant.Ransom.Ekans.3
DrWeb -> Trojan.Encoder.31986
Kaspersky -> Trojan-Ransom.Win32.Snake.e
Malwarebytes -> Ransom.Ekans
McAfee -> Ransom-Ekans!7DDB09DB3FB9
Rising -> Ransom.Snake!8.1170E (CLOUD)
Symantec -> Trojan Horse
Tencent -> Win32.Trojan.Filecoder.Ammt
TrendMicro -> Ransom.Win32.EKANS.D



Обновление от 7 января 2021:
Результаты анализов: IA VT 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Snake-Ekans)
 Write-up, Topic of Support
 * 
Added later:
Write-up (BleepingComputer, on January 8, 2020)
*
*
 Thanks: 
 Vitali Kremez, Michael Gillespie, sysopfb
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 6 января 2020 г.

Pashka, Quimera Crypter

Pashka Ransomware

Quimera Crypter (Chimera) Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.03 BTC, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender -> Trojan.GenericKD.32910233
Kaspersky -> Trojan.Win32.SelfDel.hlap
TrendMicro -> Mal_Neb-2
Symantec -> ML.Attribute.HighConfidence
Microsoft -> Trojan:Win32/Wacatac.B!ml
VBA32 -> Trojan.Wacatac
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение — логотип статьи


К зашифрованным файлам добавляется расширение: .pashka


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP_ME_RECOVER_MY_FILES.txt



Содержание записки о выкупе:
Atention! all your important files were encrypted!
to get your files back send 0.03 Bitcoins and contact us with proof of payment and your Unique Identifier Key.
We will send you a decryption tool with your personal decryption password.
Where can you buy Bitcoins:
https://www.coinbase.com
https://localbitcoins.com
Contact: unlockransomware@protonmail.com.
Bitcoin wallet to make the transfer to is:
3LtZ1DRUTupWFdxkgyTyMDa2AYEcNio4Pu3LtZ1DRUTupWFdxkgyTyMDa2AYEcNio4Pu
Unique Identifier Key (must be sent to us together with proof of payment): 
-----------------------------------------------------------------------------------------
gI8qDdI4GUgivJyIfwGjnM4e6RApVok9ZzvrSKaYl2Ta1ZVA/DCT32*** [всего 344 знака]
-----------------------------------------------------------------------------------------

Перевод записки на русский язык:
ВНИМАНИЕ! все ваши важные файлы зашифрованы!
чтобы вернуть ваши файлы, отправьте 0.03 биткоина и свяжитесь с нами, чтобы подтвердить платеж и ваш уникальный идентификатор ключ.
Мы вышлем вам инструмент дешифрования с вашим личным паролем дешифрования.
Где можно купить биткойны:
https://www.coinbase.com
https://localbitcoins.com
Контакт: unlockransomware@protonmail.com.
Биткойн-кошелек для осуществления перевода:
3LtZ1DRUTupWFdxkgyTyMDa2AYEcNio4Pu3LtZ1DRUTupWFdxkgyTyMDa2AYEcNio4Pu
Уникальный Идентификатор Ключ (должен быть выслан нам вместе с подтверждением оплаты):
Unique Identifier Key (must be sent to us together with proof of payment): 
-----------------------------------------------------------------------------------------
gI8qDdI4GUgivJyIfwGjnM4e6RApVok9ZzvrSKaYl2Ta1ZVA/DCT32*** [всего 344 знака]
-----------------------------------------------------------------------------------------



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP_ME_RECOVER_MY_FILES.txt
pashka.exe (PASHKA.exe)
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Moises\source\repos\Quimera Crypter\Release\Stub.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: unlockransomware@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
SNDBOX >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet + Tweet + Tweet
 ID Ransomware (ID as Pashka Quimera Crypter )
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, PCrisk
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *