Blocky

Blocky Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 + RSA, а затем требует выкуп в 0.055 BTC, чтобы вернуть файлы. Оригинальное название: Blocky. На файле написано: blocky.exe

Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Generic.Ransom.Hiddentear.A.288C180F
ALYac -> Generic.Ransom.Hiddentear.A.288C180F
Avira (no cloud) -> TR/Ransom.llbnu
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Y
Kaspersky -> HEUR:Trojan.Win32.Generic
McAfee -> Ransomware-FTD!AA18E8176E16
Microsoft -> Ransom:MSIL/Ryzerlo.A
Rising -> Ransom.HiddenTear!1.C60C (CLOUD)
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> Ransom_CRYPTEAR.SM0
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: HiddenTear >> Blocky

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июня 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
B L O C K Y
Your personal files have been ecrypted. Visit your home page
PAGE
and recover your files

Перевод записки на русский язык:
B L O C K Y
Ваши личные файлы зашифрованы. Посетите вашу страницу
PAGE
и восстановите ваши файлы



Другим информатором жертвы выступает изображение ransom.bmp, заменяющее обои Рабочего стола.

Содержание текста: 
All your files are encrypted with RSA-2048 and AES-128 cipher
More information about RSA and AES can be found here:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
In order to decrypt your files you need to follow these steps
1) buy bitcoins https://cex.io/buy-bitcoins
2) send 0.055 BTC to
32CCbV3wMs4kRo8vZ9GuusgzZh4D5GdkUo
3) Perform a payment
Your personal identification ID: 1!imfj6?e68eGomN(

Перевод текста на русский язык:
Все ваши файлы зашифрованы с шифром RSA-2048 и AES-128
Подробную информацию о RSA и AES можно найти здесь:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Чтобы расшифровать ваши файлы, вам нужно сделать следующие шаги
1) купить биткойны https://cex.io/buy-bitcoins
2) отправить 0.055 BTC на
32CCbV3wMs4kRo8vZ9GuusgzZh4D5GdkUo
3) Выполнить платеж
Ваш личный идентификационный ID: 1!imfj6?e68eGomN(

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
blocky.exe (local.exe) - исполняемый файл
blocky.pdb - оригинальное название проекта
READ_IT.txt - название файла с требованием выкупа
ransom.bmp - изображение, заменяющее обои Рабочего стола
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\blocky.exe
c:\users\novel\source\repos\blocky\blocky\obj\debug\blocky.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\BFE_Notify_Event_{69674ace-a73f-42c2-aa38-1430c68f373c}
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://rose-flowers.epizy.com/write.php
Email: - 
BTC: 32CCbV3wMs4kRo8vZ9GuusgzZh4D5GdkUo
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

HE-HELP, Normanzak

HE-HELP Ransomware

Normanzak Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные компаний и бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> HE-HELP (Normanzak)

Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
._HE
._HE._LP


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июня 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые пострадавшие были из Аргентины. 

Записка с требованием выкупа называется: READ_ME_.txt
Один скриншот сделан в Блокноте, другой в браузере Google Chrome. 

Содержание записки о выкупе:
****************************************************************
Attention! Your documents, databases and other important files have been encrypted!
****************************************************************
The only way to decrypt your files is to buy a decryptor from us.
Let your boss handle this, if you can send money, send up to 3 small files by email.
Subject: Your company name
normanzak@protonmail.com
normanzak@airmail.cc
We will respond with a price and decrypted files as proof that we can decrypt your data.
Contact us within 24 hours to get the best price.
---
We downloaded the "interesting" files and database tables from your server,
we will delete them if you pay or publish them if not.


Перевод записки на русский язык:
****************************************************************
Внимание! Ваши документы, базы данных и другие важные файлы зашифрованы!
****************************************************************
Единственный способ расшифровать ваши файлы - это купить у нас расшифровщик.
Пусть ваш начальник справится с этим, если вы можете отправить деньги, отправьте до 3 маленьких файлов по email.
Тема: Название вашей компании
normanzak@protonmail.com
normanzak@airmail.cc
Мы ответим с ценой и расшифрованными файлами в качестве доказательства того, что мы можем расшифровать ваши данные.
Свяжитесь с нами в течение 24 часов, чтобы получить лучшую цену.
---
Мы загрузили "интересные" файлы и таблицы базы данных с вашего сервера, мы удалим их, если вы заплатите или опубликуем их, если нет.
****************************************************************

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME_.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: normanzak@protonmail.com
normanzak@airmail.cc
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HE-HELP)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CryCryptor

CryCryptor Ransomware

(шифровальщик-вымогатель для Android) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей Android-устройств с использованием алгоритма AES (режим CBC) со случайно сгенерированным 16-символьным ключом, а затем требует выкуп, чтобы вернуть файлы. Для информации используется только записка, само устройство не блокируется. Оригинальное название: CryCryptor. Специалисты ESET создали дешифровщик для файлов, зашифрованных CryCryptor Ransomware. 

Обнаружения:
DrWeb -> Android.Locker.1292.origin
AhnLab-V3 -> Trojan/Android.CryCryptor.960774
Avast-Mobile -> APK:RepSandbox [Trj]
Avira (no cloud) -> ANDROID/Locker.uobvj
ESET-NOD32 -> Android/CryCryptor.A
Kaspersky -> HEUR:Trojan-Ransom.AndroidOS.CryCrypt.a
Microsoft -> Ransom:AndroidOS/CryCryptor.A!MTB
Symantec -> Trojan.Gen.MBT
Symantec Mobile Insight -> Trojan:Simplocker
Tencent -> A.rogue.LockerCryCryptor
TrendMicro -> TROJ_FRS.0NA103FQ20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: OSR CryDroid >> CryCryptor

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .enc

Подробнее: после того, как CryCryptor зашифрует файлы, создаются три новых файла и исходный файл удаляется. Зашифрованный файл имеет добавленное расширение .enc
Алгоритм генерирует соль, уникальную для каждого зашифрованного файла (сохраняется в файле с расширением .enc.salt) и вектор инициализации (сохраняется в файле с расширением .enc.iv). См. примеры на скриншоте. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на июнь 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первоначально был ориентирован на пользователей Канады. 

 

Вредонос загружался с двух поддельных сайтов, выдавая себя за приложение для отслеживания COVID-19. Поддельное приложение стало распространяться через несколько дней после того, как правительство Канады объявило о своем намерении поддержать разработку общенационального приложения для предупреждение контактов инфицированными. Это мобильное приложение под названием COVID Alert должно предупреждать пользователей, если они вступают в контакт с кем-то, у кого подтвердился диагноз с COVID-19. Официальное приложение должно быть выпущено в июле 2020. 

ESET проинформировал Канадский центр кибербезопасности об этой угрозе, как только она была выявлена. Домены, распространяющие вредоносную программу заблокированы. 

После запуска вымогатель запрашивает доступ к файлам на устройстве. После получения этого разрешения он шифрует файлы на внешнем носителе. 

После шифрования файлов на экране выводится сообщение:
Personal files encrypted, see readme_now.txt

Перевод:

Личные файлы зашифрованы, см. readme_now.txt

 

Записка с требованием выкупа называется: readme_now.txt

Содержание записки о выкупе:
Your files have been Encrypted!
Send an Email to rescue them:
supportdoc@protonmail.ch
Your id is c9703808-ea73-4278-bec4-e349e5559d98

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Отправьте email для их спасения:
supportdoc@protonmail.ch
Ваш id c9703808-ea73-4278-bec4-e349e5559d98

Технические детали

Распространяется через два веб-сайта под видом официального приложения для отслеживания COVID-19, предоставленного Health Canada. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 
Пользователям Android рекомендуется устанавливать приложения только из надежных источников, таких как магазин Google Play.


➤ Контролирует BOOT_COMPLETED, чтобы активироваться и запускаться при каждом запуске Android-устройства.

➤ Ключи шифрования вшиты в настройки CryCryptor. Благодаря этому и проблеме безопасности (CWE-926) стало возможным расшифровать зашифрованные файлы.

 

Список файловых расширений, подвергающихся шифрованию:
.avi, .db, .doc, .docx, .jpg, .png. .pdf, .ppt, .pptx, .tmp, .txt, .xls, .xlsx, .YCF, 
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, временные файлы и пр. Шифруются только файлы, найденные на внешнем носителе информации (карте памяти, подключенной флешке и пр.). 

Файлы, связанные с этим Ransomware:
tracershield.apk - исполняемый APK-файл для Android
readme_now.txt - название файла с требованием выкупа

Сетевые подключения и связи:
URL: xxxxs://covid19tracer.ca/
URL: xxxs://tracershield.ca/
URL: xxxps://tracershield.ca/download/tracershield.apk
Email: supportdoc@protonmail.ch
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>  JOE>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 июля 2020:
Пост в Твиттере >>

Сообщение от Lukas Stefanko, связанное с CryDecryptor и дешифрованием файлов. 

Обновление от 18 июля 2020:
Пост в Твиттере >>
Сообщение от Lukas Stefanko, связанное с ключом шифрования. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tw + Tw + myTweet
 ID Ransomware (ID as CryCryptor)
 Write-up, Topic of Support
 * 

 - видеообзор шифрования и дешифрования, подготовленный специалистами ESET

 Thanks: 
 Lukas Stefanko, ESET research, Michael Gillespie
 Andrew Ivanov (author)
 Re-ind, NtRaiseException()
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

PL

PL Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: PL. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> PL Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encoded_PL


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июня 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !ALL_YOUR_FILES_ARE_ENCRYPTED!.txt

Содержание записки о выкупе:
All your files are encrypted.
You are not able to decrypt it by yourself!
Only we can recover your files.
To check the ability of returning files, you should write to us by email.
There you can decrypt one file for free. That is our guarantee.
Write to email: qqxxxxxqq@protonmail.com
Reserved email: wwxxxxxww@protonmail.com
Your personal ID: ***
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.

Перевод записки на русский язык:
Все ваши файлы зашифрованы.
Вы не можете расшифровать это сами!
Только мы можем восстановить ваши файлы.
Чтобы проверить возможность возврата файлов, вы должны написать нам на email.
Там вы можете расшифровать один файл бесплатно. Это наша гарантия.
Пишите на email: qqxxxxxqq@protonmail.com
Резервный email: wwxxxxxww@protonmail.com
Ваш личный ID: ***
Внимание!
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!ALL_YOUR_FILES_ARE_ENCRYPTED!.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: qqxxxxxqq@protonmail.com
Email-2: wwxxxxxww@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as PL Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author) 
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.