Если вы не видите здесь изображений, то используйте VPN.

четверг, 12 сентября 2013 г.

EncFileSOS

EncFileSOS Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English




Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации различных алгоритмов (DES, RC2, RC4, RC5, RC6, 3DES, Blowfish, AES, ГОСТ 28147-89, IDEA, Tea, CAST-128, CAST-256, ICE, Twofish, Serpent, MARS, MISTY1). Способ шифрования выбирается исходя из значения  параметра, получаемого в конфигурационном XML-файле. З
атем после шифрования оставляет записку с требованием выкупа, в которой требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. По сообщениям специалистов из DrWeb, чаще используется шифрование RC4 (модифицированный алгоритм) + DES. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.225
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: более ранние варианты >> EncFileSOS > 
MrCrTools,  Rakhni Family


Информация для идентификации

Активность этого крипто-вымогателя была в сентябре - октябре 2013, а позже появились новые модификации. Ориентирован на русскоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .encfilesos@aol.com

Записка с требованием выкупа называется: 
KAK_PАCШИФPOBATЬ_ВАШИ_ФAЙЛЫ.TXT

Вероятно, должен быть еще англоязычный вариант HOW_TO_DECRYPT_YOUR_FILES.TXT, но в изученном варианте он оказался зашифрован. 

Содержание записки о выкупе (вариант сентября 2013):
Все вaши файлы dос,xls,рdf,jpg бaзы дaнныx зaшифpoвaны.
Чтобы купить дешифратор напишите нам на email:
encfilesos@aol.com
В теме письма укажите ваш ID.
Если вы хотите удостовериться в том, что мы можем расшифровать ваши файлы, можете приложить любой файл и мы его расшифруем (базы данных для теста не расшифровываем!)
ID:F05DB***
---------------------------------------------------------------------------------




Содержание записки о выкупе 
(вариант октября 2013):
Все вaши файлы и бaзы дaнныx зaшифpoвaны.
Расшифровка платная. 
Чтобы купить дешифратор свяжитесь с нами по email:
encfilesos@aol.com
В теме письма укажите ваш ID (ID05EF2***)
Если вы хотите удостовериться в том, что мы можем расшифровать ваши файлы, приложите к письму какой-нибудь файл и мы его расшифруем (базы данных для теста не расшифровываем!)
--------------------------------------------------------------------
ID:05EF2***
--------------------------------------------------------------------
Все вaши файлы и бaзы дaнныx зaшифpoвaны.
Расшифровка платная. 
Чтобы купить дешифратор свяжитесь с нами по email:
encfilesos@aol.com
В теме письма укажите ваш ID (ID05EF2***)
Если вы хотите удостовериться в том, что мы можем расшифровать ваши файлы, приложите к письму какой-нибудь файл и мы его расшифруем (базы данных для теста не расшифровываем!)
--------------------------------------------------------------------
ID:05EF2***
--------------------------------------------------------------------



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 



Технические детали + IOC

 Может распространяться с помощью email-спама и вредоносных вложений. (это может быть номер какого-то заказа, например "Заказ №320123543",  имитация письма из банка, например о задолженности), обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. 
 В момент открытия вложенного файла, содержащего известный эксплоит к CVE2012-0158, вредоносный файл проникает на компьютер жертвы, используя уязвимость Microsoft Office. После начала действия вируса файлы Excel, Word, фото, архивы, базы данных 1С, аудио-файлы будут зашифрованы. 


См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KAK_PАCШИФPOBATЬ_ВАШИ_ФAЙЛЫ.TXT - название файла с требованием выкупа на русском языке;
HOW_TO_DECRYPT_YOUR_FILES.TXT - название файла с требованием выкупа на английском языке;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: encfilesos@aol.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: - 


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Topic of Support, Topic of Support
 DrWeb расшифровали множество файлов после Trojan.Encoder.225. 
 Thanks: 
 v.martyanov
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

пятница, 6 сентября 2013 г.

CryptoLocker

CryptoLocker Ransomware

CryptoLocker 2.0 Ransomware

CryptoLocker Original

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA + AES-256, а затем требует выкуп ~ $100-400 в BTC, чтобы вернуть файлы. На уплату выкупа дается 72 часа, а потом сумма выкупа увеличивается в 5 и более раз. Закрытый ключ хранится на C&C-серверах вымогателей. На пострадавших ооказывается давление с угрозой удаления закрытого ключа по истечения срока. Оригинальное название: CryptoLocker.
---
Обнаружения (на апрель-май 2014 г.):
AhnLab -> Trojan/Win32.Cryptolocker
Avira -> TR/Crypt.ZPACK.13648
BitDefender -> Trojan.GenericKDV.1279124
Dr.Web -> Trojan.DownLoader10.17256
Emsisoft -> Trojan:Win32/Crilock.A, Win32/Crilock.B
Trend Micro -> TROJ_FRS.BMA000IP13, TROJ_CRILOCK.YML
---

Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя продолжалась с 5 сентября 2013 по конец мая 2014 года. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 




Содержание записки о выкупе: 
Your personal files are encrypted!
Your important files encryption produced on this computer: photos, videos, documents, etc. Here is a complete list of encrypted files, and you can personally verify this.
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files...
To obtain the private key for this computer, which will automatically decrypt files, you need to pay 300 USD / 300 EUR / similar amount in another currency. 
Click «Next» to select the method of payment and the currency. 
Any attempt to remove or damage this software will lead to the immediate destruction of the private key by server.

Перевод записки на русский язык (грамотность оригинала): 
Ваши личные файлы зашифрованы!
Ваши важные файлы шифрование сделано на этом компьютере: фото, видео, документы и т.д. Вот полный список зашифрованных файлов, и вы можете лично проверить это.
Шифрование сделано с помощью уникального открытого ключа RSA-2048, созданного для этого компьютера. Для расшифровки файлов вам надо получить закрытый ключ.
Единственная копия закрытого ключа, которая позволит вам расшифровать файлы, находится на секретном сервере в Интернете; сервер уничтожит ключ после времени, указанном в этом окне. После этого никто и никогда не сможет восстановить файлы...
Чтобы получить закрытый ключ для этого компьютера, который автоматически расшифрует файлы, вам надо заплатить 300$ США / 300 евро / аналог суммы в другой валюте.
Нажмите «Next», чтобы выбрать способ оплаты и валюту.
Любая попытка удалить или повредить эту программу приведет к немедленному уничтожению закрытого ключа сервером.

В следующем окне вымогатели предлагают следующие системы для уплаты "штрафа":
MoneyPak
Ukash
Paysafecard
cashU
Bitcoin
 
 

 



Технические детали

Распространяется как email-вложение от якобы легальной компании. Вложение содержит файл со значком PDF-файла, на самом деле являющимся EXE-файлом. CryptoLocker также распространялся с использованием трояна и ботнета Gameover ZeuS. См. также "Основные способы распространения криптовымогателей" на вводной странице блога



Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ При первом запуске "полезная нагрузка" трояна-шифровальщика устанавливается в папку профиля пользователя и добавляет ключ в реестр, чтобы запускаться при включения ПК. Затем он пытается связаться с одним из нескольких назначенных C&C-серверов. После подключения сервер генерирует пару RSA-2048 ключей и отправляет открытый ключ на заражённый ПК. 
Если связаться с C&C не удалось, вредонос начнет генерировать кажущиеся случайными доменные имена, используя алгоритм генерации домено на основе текущего системного времени и добавления ее к одному из следующих семи возможных доменов верхнего уровня: .com, .net, .biz, .ru, .org, .co.uk, .info. Сервера могут быть локальными прокси и проходить через другие сервера, часто перемещаться в разных странах, чтобы затруднить их отслеживание. 

CryptoLocker регистрирует шифрование файла в разделе реестра HKEY_CURRENT_USERSoftwareCryptoLockerFiles. Этот ключ позже используется им для представления пользователю списка зашифрованных файлов и ускорения дешифрования.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx (72 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, изображения и графические файлы, сертификаты, файлы образов и пр. 

Файлы, связанные с этим Ransomware:
%AppData%\<random>.exe
%AppData%\<random>\<random>.exe (zbot)
%LocalAppData%\<random>.exe
Пример файла: Bklogzrsebcdpjbr.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\CryptoLocker_0388\Files
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "CryptoLocker"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "CryptoLocker_<version>"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce "*CryptoLocker"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "<Random>"

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: f2d2v7soksbskekh.onion
URL: 184.164.136.134
kjasdklhjlas.info
xeogrhxquuubt.com
qaaepodedahnslq.org
blcusrwmwsce.ru
cqatmhkbawod.co.uk
duhjqmogmwfc.com
eafikccupbrb.biz
nhbgpmbhfclx.biz
omyfjcovigxw.org
pqgunhsbugov.info
qvethwgpxkbu.net
vajgqwtrpgjn.ru
wfhfkmhgskvm.co.uk
wpkhlcnfhldx.org
xjouorllfkml.com
xuigfrbtkppw.info
yypvjwfywpgv.net
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление ноября 2013: 
1 ноября 2013 года операторы CryptoLocker запустили сервис, которая позволял пострfдавшим расшифровывать свои файлы без программы CryptoLocker и приобретать ключ дешифрования по истечении крайнего срока уплаты выкупа. Требовалось загрузить зашифрованный файл на сайт и ждать, пока будет найдено соответствие в течение 24 часов. После обнаружения пострадавший должен был заплатить онлайн за ключ увеличенную сумму (до 10 BTC).




Обновление мая - июня - августа 2014: 
CryptoLocker был изолирован в конце мая 2014 года в результате операции "Tovar", в ходе которой правоохранительными органами из разных стран был остановлен ботнет Gameover ZeuS, который использовался для распространения банковских троянцев, шифровальщика-вымогателя CryptoLocker и другого вредоносного ПО. Во время операции была получена база данных секретных ключей, используемых CryptoLocker. На этом основании был создан онлайн-инструмент Decrypt Cryptolocker (сайт https://decryptcryptolocker.com/) для восстановления ключей и некоторых файлов без уплаты выкупа. 

 

Пострадавшие могли указать email-адрес и загрузить один из зашифрованных файлов со своего ПК, и служба отправит по email ссылку, которую пострдавшие могли использовать для загрузки программы восстановления для расшифровки всех своих зашифрованных файлов.

Было подсчитано, что операторы CryptoLocker получили около $3000000 от пострадавших. Вымогательский успех CryptoLocker породил ряд несвязанных, но названных как CryptoLocker вымогательских проектов. То есть многие разработчики вымогателей использовали название CryptoLocker для своих программ-вымогателей, хотя и не были связаны с ним. Само название CryptoLocker и его русскоязычный вариант криптолокер стали нарицательными. 




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Article + Article + Article
 ID Ransomware (ID as CryptoLocker)
 Write-up, Topic of Support, Write-up
 *** 
Статья от SecureWorsk (от 18 декабря 2013) + образцы и домены
Статья от ZDNet (от 22 декабря 2013) + общая сумма выкупа
 Thanks: 
 Lawrence Abrams, Fabian Wosar, Michael Gillespie
 Andrew Ivanov (article author)
 BleepingComputer, Emsisoft
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 26 августа 2013 г.

HELP@AUSI

HELP@AUSI Ransomware
SOS@AUSI Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA или XOR+RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: не указано. Написан на языке Delphi. 

© Генеалогия: более ранний >> HELP@AUSI
© Генеалогия по версии Dr.Web: Trojan.Encoder.102 > Trojan.Encoder.293

К зашифрованным файлам добавляются различные расширения:
.HELP@AUSI.COM_DE
.HELP@AUSI.COM_XE
.HELP@AUSI.COM_XQxxx
.HELP@AUSI.COM_XOxxx
.SOS@AUSI.COM_FGxxx
.SOS@AUSI.COM_IDxxx
.sos@ausi.com_ZQxxx
и многие другие, см. "Блок обновлений" внизу статьи. 

Под xxx скрыт 1х-3х-цифровой код. 

Примеры:
HELP@AUSI.COM_XO105
HELP@AUSI.COM_XQ100
SOS@AUSI.COM_ID85

Имелись также версии без дополнительного расширения. 

Наиболее ранняя выявленная активность этого крипто-вымогателя пришлась на вторую половину февраля 2013 г. Вымогательская деятельность безнаказанно продолжалась на протяжении трёх лет (2013-2016), а с учетом ранних версий — даже пять лет (с апреля 2011 до конца 2016 год). 
Был ориентирован на англоязычных и русскоязычных пользователей, что позволяло распространять его по всему миру. 

Записки с требованием выкупа в большинстве случаев отсутствовали. 

В некоторых версиях всё же были записки или экраны блокировки с текстом. См. например, Kolobo Ransomware

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Шифрование файлов выполнялось в два этапа: 
- сначала файл шифровался использованием алгоритма XOR блоками по примерно 0x200 байт (длина блока различная в рахных версиях);
- затем файл шифровался с использованием алгоритма RSA. 
Подробнее о шифровании в описании у Dr.Web >>

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, DBF-файлы и базы данных, файлы программы 1C.Бухгалтерия, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
HELP@AUSI.COM и help@ausi.com
SOS@AUSI.COM и sos@ausi.com
COMODO@EXECS.COM
NUMBAZA@SEZNAM.CZ
REDBULL@PRIEST.COM
SAD@FIREMAN.NET
и многие другие
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Другие известные расширения:
.anna_stepanova@aol.com_
.backspace@riseup.net_xxx
.byaki_buki@aol.com_
.COMODO@EXECS.COM_hexxxx, например: .COMODO@EXECS.COM_hex361
.contact@casinomtgox.com
.evromaidan2014@aol.com_
.Heinz@oaht.com_hxxx
.iizomer@aol.com_
.kolobocheg@aol.com_ - см. статью Kolobo Ransomware
.moshiax@aol.com_
.NUMBAZA@SEZNAM.CZ_Qxxx
.numlock@2riseup.net_
.numlock@riseup.net_
.oduvansh@aol.com_
.ONE@AUSI.COM
.REDBULL@PRIEST.COM_RBxxx
.REDBULL@PRIEST.COM_RExxx
.SAD@FIREMAN.NET_AMxxx
.starpex@riseup.net_
.Support@casinomtgox.com
.Support@casinomtgox.com_lot
.two@AUSI.COM
.ZANZIBAR@umpire.com_ZAxxx

Другие известные email:
anna_stepanova@aol.com
backspace@riseup.net
byaki_buki@aol.com
contact@casinomtgox.com
evromaidan2014@aol.com
Heinz@oath.com
iizomer@aol.com
kolobocheg@aol.com - см. статью Kolobo Ransomware
moshiax@aol.com
numlock@2riseup.net
numlock@riseup.net
oduvansh@aol.com
ONE@AUSI.COM
starpex@riseup.net
Support@casinomtgox.com_lot
two@AUSI.COM
ZANZIBAR@umpire.com




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Универсального дешифровщика для всех версий нет.
Но отдельные версии расшифровывались специалистами Dr.Web. 
Ссылка на форум поддержки со списком версий >>
Или создайте индивидуальный запрос на расшифровку >>
 Read to links: 
 Write-up
 ID Ransomware (n/a)
 Topic of Support
 * 
 Thanks: 
 Владимир Мартьянов
 Dr.Web
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 16 августа 2013 г.

Revoyem, DirtyDecrypt

Revoyem Ransomware

DirtyDecrypt Ransomware

(шифровальщик-вымогатель)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA+RC4, а затем требует выкуп, чтобы вернуть файлы.

Этот крипто-вымогатель шифрует файлы пользователей, главным образом doc, .xls, .pdf, jpg, png и другие файлы, которые недавно были созданы или изменены пользователем. 

Revoyem впервые обнаружен в марте 2013 года на территории Германии и Великобритании. К осени того же года ареал обитания Revoyem уже охватывал 15 стран, в их числе США, Испания, Францию, Италия, Турция и Канада. Источник информации. Позже в новых вредоносных кампаниях были затронуты и другие страны, в том числе и Россия (см. внизу блок обновлений). 

Вредонос внедряет PNG-записку с требованием выкупа в файлы, сохраняя первоначальное расширение файла. 


После того, как пользователь попытается открыть поврежденный файл, он увидит следующее сообщение:

Содержание записки о выкупе:

File is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL+ALT+D to run DirtyDecrypt.exe
If DirtyDecrypt.exe not opened сheck the paths:
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[USERNAME]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Application Data\Dirty\DirtyDecrypt.exe

Перевод записки на русский язык:

Файл зашифрован 
Этот файл можно дешифровать с помощью DirtyDecrypt.exe 
Нажмите CTRL + ALT + D для запуска DirtyDecrypt.exe 
Если DirtyDecrypt.exe не открылся, проверь пути: 
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[USERNAME]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Application Data\Dirty\DirtyDecrypt.exe



Технические детали

Распространяется при помощи email-спама, вредоносных JS-вложений, через редиректы на порносайтах.  См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Кликнув по вредоносному баннеру, установленному в рамках партнерской программы TrafficHolder, посетитель попадает на страницу с детским порно, которая к тому же служит плацдармом для набора эксплойтов Styx. При успешной отработке эксплойта на машину жертвы загружается Revoyem, который блокирует доступ к системе и выводит во весь экран сообщение, обвиняющее пользователя в просмотре противозаконного контента. Эффект от атаки сильнее тем, что пользователь, открывший данный сайт, действительно просмотрел запрещенный контент, хотя и мельком, и не по своей воле. Испугавшись, жертва может форсировать уплату "штрафа", чтобы восстановить работоспособность ПК, пока кто-то из близких не увидел "содеянного". 

Блокирующий доступ к системе блокировщик экрана имитирует уведомление от блюстителей правопорядка и требуют уплатить "штраф" за разблокировку. В сообщениях "от ФБР" приводятся IP-адрес и местонахождение пользователя, а также запрещенные фото, логи визитов с данного IP-адреса и список статей, которые нарушила жертва.


«В случае уплаты штрафа все собранные против вас улики будут удалены из доказательной базы», — говорится на последней странице, отображаемой Revoyem. Платеж предлагается произвести с помощью MoneyPak, Paysafeсard или Ukash.


Кроме того, Revoyem в фоновом режиме ворует информацию из браузера, отключив диспетчер задач, и при инсталляции обеспечивает себе автозапуск при каждом запуске Windows. 


По своим действиям Revoyem мало отличается от семейства вымогателей Police Ransomware, но тот факт, что Revoyem перенаправляет свои жертвы на веб-сайты, содержащие порнографическое содержание, делает его более опасным, чем его предшественники.


Если напуганная жертва решит заплатить выкуп, то рискует просто потерять деньги, т.к. нет никакой гарантии, что данные, хранящиеся на компьютере будут расшифрованы. В шоковом состоянии жертва также может бессознательно раскрыть данные кредитной карты и онлайн-банкинга. 


Список файловых расширений, подвергающихся шифрованию:
.doc, .xls, .pdf, jpg, .png и другие важные файлы.
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
DirtyDecrypt.exe
<random>.exe - случайное название файла
<image>.png - картинка, внедряемая в файлы

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: была высокая, но на данный момент низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 4 июня 2015:
Email: vorjdsa@mail.ru, Opensupport@india.com
Записка о выкупе: ХОЧЕШЬ ВЕРНУТЬ ФАИЛЫ!.txt
Содержание записки:
Здравствуйте! все ваши данные на дисках зашифрованы если хотите расшифровать ваши фаилы то пишите нам на емайл vorjdsa@mail.ru и на Opensupport@india.com мы ответим в течении 1-4 часов 
ПРИ ОБРАЩЕНИИ УКАЖИТЕ ВАШ ПЕРСОНАЛЬНЫЙ КОД
Ваш код 27xxxxxx
мы предоставляем гарантии расшифровки! 
Топик на форуме Dr.Web >>





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DirtyDecrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 ThreatPost и другие
 Michael Gillespie
 v.martyanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles. 


Remove Revoyem DirtyDecrypt Decode Restore files Recovery data Удалить Revoyem DirtyDecrypt Дешифровать Расшифровать Восстановить файлы

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *