Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 14 февраля 2016 г.

PadCrypt, PadCrypt 2.0

PadCrypt Ransomware 

PadCrypt2, PadCrypt3

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,8 биткоинов или больше, чтобы вернуть файлы. На уплату выкупа даётся 96 часов. Название оригинальное. 

Его создатели, видимо, фанаты более известного крипто-вымогателя CryptoWall, потому или использовали какой-то его готовый шаблон или скопировали графику этого шифровальщика. Примечательно, что они также впервые в истории шифровальщиков прикрутили чат поддержки, который на момент исследования не работал. По прошествии 6 месяцев со дня шифрования вымогатели обещают дешифровать файлы бесплатно. 16.2.2016

© Генеалогия: CryptoWall шаблон >> PadCrypt > PadCrypt2 > PadCrypt3 ...

К зашифрованным файлам поначалу никакое расширение не добавлялось.
С июля 2016 в обновлённой версии добавляется расширение .padcrypt

Активность этого криптовымогателя пришлась на февраль 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
IMPORTANT READ ME.txt
File Decrypt Help.html

Содержание текстовой записки о выкупе:
PadCrypt Decryption Information
Your personal files, documents, and videos on this computer have been encrypted with AES encryption.
In order to decrypt and repair your files, you will need to pay in Bitcoin or Paysafecard prior to your key destruction date.
After that, nobody will ever be able to recover your files, and they are lost forever.
If your anti virus has deleted PadCrypt, you can still recover your files.
Email our support team providing your unique machine ID in the email and we'll respond within 24 hours.
--
Subject: payment
Email: maliko@inbox.lv
Machine id: ***
---
We advise you not to delete this file. If you delete it, there's no hope of ever getting your files back!
However, if it has been 6 months since your computer was encrypted, send us an email and we'll decrypt your files FREE
Don't play us however, we know the exact date and time your computer was infected!

Перевод записки на русский язык:
PadCrypt дешифрования информация
Ваши личные файлы, документы и видео на этом компьютере зашифрованы с AES-шифрованием.
Чтобы расшифровать и вернуть файлы, вам надо заплатить Bitcoin или Paysafecard до даты уничтожения вашего ключа.
После этого никто и никогда не сможет восстановить ваши файлы, и они будут потеряны навсегда.
Если ваш антивирус удалит PadCrypt, вы все еще можете восстановить файлы.
Email в нашу службу поддержки, указав свой уникальный ID машины в письме, и мы ответим в течение 24 часов.
-
Subject: payment
E-mail: maliko@inbox.lv
Machine id: ***
---
Мы советуем вам не удалять этот файл. Если вы удалите его, нет никакой надежды получить ваши файлы обратно!
Однако, если прошло 6 месяцев, когда ваш компьютер был зашифрован, пришлите нам письмо, и мы расшифруем ваши файлы БЕСПЛАТНО
Не играйте с нами, т.к. мы знаем точную дату и время, когда ваш компьютер был заражен!

Информаторами жертвы также выступают скринлок, встающий обоями рабочего стола и блокировщик экрана, появляющиеся после шифрования файлов. В левом нижнем углу имеется интересная опция - Live Chat (чат поддержки), которая предполагает связь с оператором вымогателей. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
Все файлы, независимо от расширений, находящиеся на всех подключенных дисках и особенно в директориях: 
C:\Users\User_name\Downloads
C:\Users\User_name\Documents
C:\Users\User_name\Pictures
C:\Users\User_name\

Пропускаются и не шифруются только файлы, находящиеся в директориях:
C:\Users, C:\NVIDIA, C:\Intel, C:\Documents and Settings, C:\Windows, C:\Program Files, C:\Program Files (x86), C:\System Volume Information, C:\Recycler
... или содержат строки:
ProgramData, PerfLogs, Config.Msi, $Recyle.Bin

После шифрования удаляются все теневые копии системы и файлов (Shadow Volume Copies) командой: 
vssadmin delete shadows /for=z: /all /quiet

Файлы, связанные с этим Ransomware:
%Desktop%\IMPORTANT READ ME.txt - записка о выкупе
%AppData%\PadCrypt\File Decrypt Help.html - "Помощь" для жертвы
%AppData%\PadCrypt\Wallpaper.bmp - скринлок на обои рабочего стола
%AppData%\PadCrypt\PadCrypt.exe - шифровальщик и блокировщик экрана
%AppData%\PadCrypt\unistl.exe - деинсталлятор для удаления записок о выкупе и самого вредоноса
%AppData%\PadCrypt\padcryptUninstaller.exe  - деинсталлятор для удаления записок о выкупе и самого вредоноса
%AppData%\PadCrypt\decrypted_files.dat - список дешифрованных данных
%AppData%\PadCrypt\Files.txt - список зашифрованных файлов
%AppData%\PadCrypt\data.txt - файл с ключом дешифрования
package.pdcr - вспомогательный файл, загружаемый шифровальщиком
unistl.pdcr - вспомогательный файл, загружаемый шифровальщиком

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PadCrypt" = "%AppData%\PadCrypt\PadCrypt.exe"
HKEY_CURRENT_USER\Control Panel\Desktop "Wallpaper" = "%AppData%\PadCrypt\Wallpaper.bmp
HKEY_CURRENT_USER\Control Panel\Desktop "WallpaperStyle" = 1
HKEY_CURRENT_USER\Control Panel\Desktop "TileWallpaper" = 0

Сетевые подключения (C&C-серверы):
annaflowersweb.com
subzone3.2fh.co
cloudnet.online

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>


Обновление от 24 февраля 2016:
Версия: 2.2.10.0
Обновлен и заработал Live Chat
Добавился текст с насмешкой над жертвой
Добавлена функция "blacklist of computer names" : "PLACEHOL-", MALTEST "," ТЕСТ-PC "," BEA-CHI "," BRBRB "," VMSCAN ". 
Описание этих обновлений >>

Обновление от 8 июля 2016:
Расширение: .padcrypt
Сумма выкупа: 0.8 BTC
Экран блокировки остался с той же датой 01/01/1970.

Обновление от 9 марта 2017:

Версия: 3.4.0
Файл: ptsks.exe
Фальш-имя: Microsoft, Windows Driver Service
Результаты анализов: VT

Обновление от 23 марта 2017:
Версия: PadCrypt 3.4.5
Пост в Твиттере >>
Результаты анализов: HA+VT

Обновление от 5 апреля 2017:
Версия: PadCrypt 3.5.0
Пост в Твиттере >>
Результаты анализов: HA+VT

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up on BC
 ID Ransomware
 *
 Thanks: 
 abuse_ch 
 Lawrence Abrams
 Michael Gillespie
 *
 

пятница, 12 февраля 2016 г.

TeslaCrypt 3.0

TeslaCrypt 3.0 (MP3) Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + ECHD + SHA1, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название скрыто. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: TeslaCrypt 0.x > TeslaCrypt 2.x > TeslaCrypt 3.0

Список используемых крипто-вымогателем расширений версией TeslaCrypt 3.0:
.micro 
.xxx 
.ttt 
.mp3 - расширение для этой версии TeslaCrypt 3.0 (MP3)
Зашифрованные файлы с расширением .MP3

Активность этого крипто-вымогателя пришлась на первую половину февраля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

В рамках 3-й версии записки о выкупе были изменены создателями шифровальщика.

Новые файлы с требованием выкупа теперь называются:
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].png
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].txt
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].HTM

Позже записки получили 5 знаков и приняли вид:
Recovery+[5_characters].txt, например,  Recovery+eubpm.txt
Recovery+[5_characters].png, например,  Recovery+eubpm.png
Recovery+[5_characters].html, например, Recovery+eubpm.html



Примечательно, то из TeslaCrypt этой версии исчез код, отвечающий за отображение окон приложения (GUI). Вместо этого после шифрования TeslaCrypt теперь показывает HTML-записку, заимствованную у ранее известного крипто-вымогателя – CryptoWall 3.0. Похоже, что воровство записок о выкупе входит в моду. 

Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE Google Translate
What happened to your files?
All of your files were protected by a strong encryption with RSA
More information about the encryption RSA can be found here: xxxxs://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able work with them, read them o
see them, it is the same thing as losing them forever, but with our help, you can restore them.

How did this happen?
Especially for you, on our SERVER was generated the secret key pair RSA - public and private.
All your files were encrypted with the public key. which has been transferred to your computer via the Internet.
Decrypting of YOUR FILES is only possible with the help of the private key and decrypt program which is on our Secret Server!!!

What do I do?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed
If you really need your data, then we suggest you do not waste valuable time searching for other solutions becausen they do not exist.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1.xxxx://jj4dhbg4d86sdgrsdfzcadc.ziraimshi.com/***
2.xxxx://uu5dbnmsedf4s3jdnfbh34fsdf.parsesun.at/***
3.xxxx://perc54hg47fhnkjnfvcdgvdc.clinkjuno.com/***

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: xxxx://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the tor-browser address bar: fwgrhsao3aoml7ej.onion***
4. Follow the instructions on the site.
...

Перевод записки на русский язык:
НЕ ВАШ ЯЗЫК? Используйте Google-переводчик
Что случилось с вашими файлами?
Все ваши файлы были защищены сильным шифрованием с RSA
Подробную информацию о RSA-шифровании можно найти здесь: xxxxs://en.wikipedia.org/wiki/RSA_(cryptosystem)

Что это значит?
Это значит, что структура и данные в ваших файлах были бесповоротно изменены, вы не сможете работать с ними, читать их, видеть их, это то же самое, что потерять их навсегда, но с нашей помощью вы можете их восстановить.

Как это произошло?
Специально для вас на нашем сервере была создана секретная ключ-пара RSA - отрытый и закрытый.
Все ваши файлы были зашифрованы открытым ключом, который был перенесен на ваш компьютер через Интернет.
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы расшифровки, которая находится на нашем секретном сервере!!!

Что мне делать?
Увы, если вы не предпримете необходимые меры в течение указанного времени, тогда условия для получения закрытого ключа будут изменены
Если вам действительно нужны ваши данные, мы предлагаем вам не тратить драгоценное время на поиск других решений, потому что их не существует.

Для получения более конкретных инструкций, пожалуйста, посетите вашу личную домашнюю страницу, есть несколько разных адресов, указывающих на вашу страницу ниже:
1.xxxx://jj4dhbg4d86sdgrsdfzcadc.ziraimshi.com/***
2.xxxx://uu5dbnmsedf4s3jdnfbh34fsdf.parsesun.at/***
3.xxxx://perc54hg47fhnkjnfvcdgvdc.clinkjuno.com/***

Если по некоторым причинам адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor-браузер: xxxx://www.torproject.org/projects/torbrowser.html.en
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку Tor-браузера: fwgrhsao3aoml7ej.onion***
4. Следуйте инструкциям на сайте.
...


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, наборов эксплойтов (Nuclear, Angler), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Также для заражения ПК пользователей этим вымогательским ПО используется компрометация сайтов на базе CMS WordPress и Joomla.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].png
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].txt
_H_e_l_p_RECOVER_INSTRUCTIONS+[3_characters].HTM

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://jj4dhbg4d86sdgrsdfzcadc.ziraimshi.com/***
xxxx://uu5dbnmsedf4s3jdnfbh34fsdf.parsesun.at/***
xxxx://perc54hg47fhnkjnfvcdgvdc.clinkjuno.com/***
fwgrhsao3aoml7ej.onion***
См. ниже обновления.


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

Обновление от 18 февраля 2016:
Расширение: .mp3
TOR: fwgrhsao3aoml7ej.onionЗаписки: Recovery+eubpm.txt
Recovery+eubpm.png
Recovery+eubpm.html
Тема на форуме >>
<< Скриншот записки





 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as TeslaCrypt 3.0)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 10 февраля 2016 г.

UmbreCrypt

UmbreCrypt Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-шифрования, а затем требует выкуп, чтобы вернуть файлы обратно. Срок уплаты выкупа - 72 часа. Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. UmbreCrypt относится к семейству криптовымогателей CrypBoss. Очень похож на HydraCrypt

  Зашифрованные файлы получают расширение .umbrecrypt_ID_[8 случайных знаков ID]

  Для каждой папки, в которой были зашифрованы файлы, UmbreCrypt также создаёт текстовую записку с требованием выкупа под названием 
README_DECRYPT_UMBRE_ID_ [victim_id].txt. По окончании шифрования данных будет отображён экран блокировки с требованием выкупа, который сообщает о том, что произошло с файлами жертвы. 


Экран блокировки

Записки о выкупе называются:
README_DECRYPT_UMBRE_ID_[victim_id].txt
README_DECRYPT_UMBRE_ID_[victim_id].jpg и 
default32643264.bmp
default432643264.jpg

Для связи с вымогателями предлагаются email-адреса:
umbredecrypt@engineer.com
umbrehelp@consultant.com

  При установке UmbreCrypt сканирует диски C, D, E, F, G и Н на компьютере для поиска файлов, которые соответствуют нужным ему расширением. При обнаружении целевого расширения шифрует файлы с помощью AES и добавляет окончание umbrecrypt_ID_ [victim_id] к зашифрованному файлу. Таким образом, файл Chrysanthemum.jpg после шифрования станет Chrysanthemum.jpg.umbrecrypt_ID_abdag113 .

Список файловых расширений, подвергающихся шифрованию:
.$db, .__a, .__b, .~cw, .001, .002, .003, .113, .3fr, .73b, .7z, .ab, .aba, .abbu, .abf, .abk, .accdb, .acp, .acr, .adi, .aea,.afi, .ai, .apk, .arc, .arch00, .arw, .as4, .asd, .ashbak, .asset, .asv, .asvx, .ate, .ati, .avi, .bac, .backup, .backupdb, .bak~, .bak2, .bak3, .bakx, .bar, .bay, .bbb, .bbz, .bc6, .bc7, .bck, .bckp, .bcm, .bd, .bdb, .bff, .bif, .bifx, .big, .bik, .bk1, .bkc, .bkf, .bkp, .bkup, .bkz, .blend1, .blend2, .blob, .bm3, .bmk, .bmp, .bpa, .bpb, .bpm, .bpn, .bps, .bsa, .bup, .caa, .cas, .cbk, .cbs, .cbu, .cdr, .cer, .cfr, .ck9, .cmf, .cr2, .crds, .crt, .crw, .csd, .csm, .css, .csv, .d3dbsp, .da0, .das, .dash, .dat, .dazip, .db0, .dba, .dbf, .dbk, .dcr, .der, .desc, .dim, .diy, .dmp, .dna, .dng, .doc, .dot, .dov, .dpb, .dsb, .dwg, .dx, .dxg, .epk, .eps, .erf, .esm, .fbc, .fbf, .fbk, .fbu, .fbw, .ff, .fh, .fhf, .flka, .flkb, .flv, .forge, .fos, .fpk, .fpsx, .fsh, .ftmb, .ful, .fwbackup, .fza, .fzb, .gb1, .gb2, .gbp, .gdb, .gho, .ghs, .hkdb, .hkx, .hplg, .hvpl, .ibk, .icbu, .icf, .icxs, .indd, .ini.$$$, .inprogress, .ipd, .itdb, .itl, .itm, .iv2i, .iwd, .iwi, .jbk, .jdc, .jpe, .jpg, .js, .kb2, .kdb, .kdc, .kf, .layout, .lbf, .lcb, .litemod, .llx, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mbf, .mbk, .mbw, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mef, .mem, .menu, .mig, .mkv, .mlx, .mov, .mp4, .mpb, .mpqge, .mrw, .mrwref, .mv_, .nb7, .nba, .nbak, .nbd, .nbf, .nbi, .nbk, .nbs, .nbu, .ncf, .nco, .nda, .nef, .nfb, .nfc, .npf, .nps, .nrbak, .nrs, .nrw, .ntl, .nwbak, .obk, .odb, .odc, .odm, .odp, .ods, .odt, .oeb, .old, .onepkg, .orf, .ori, .orig, .oyx, .p12, .p7b, .p7c, .pak, .paq, .pba, .pbb, .pbd, .pbf, .pbj, .pbx5script, .pbxscript, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .pps, .ppt, .pqb, .pqb-backup, .prv, .psa, .psd, .psk, .pst, .ptb, .ptx, .pvc, .pvhd, .qba, .qbb, .qbk, .qbm, .qbmb, .qbmd, .qbw, .qbx, .qdf, .qic, .qic, .qsf, .qualsoftcode, .quicken2015backup, .quickenbackup, .qv~, .r3d, .raf, .rar, .raw, .rb, .rbc, .rbf, .rbk, .rbs, .rdb, .re4, .rgmb, .rgss3a, .rim, .rmbak, .rofl, .rrr, .rtf, .rw2, .rwl, .sav, .sav, .sb, .sbb, .sbs, .sbu, .scan, .sdc, .sid, .sidd, .sidn, .sie, .sim, .sis, .skb, .slm, .sme, .sn1, .sn2, .sna, .sns, .snx, .spf, .spg, .spi, .sps, .sqb,.sql, .sr2, .srf, .srr, .srw, .stg, .sum, .sv$, .sv2i, .svg, .syncdb, .t12, .t13, .tar.gz, .tax, .tbk, .tdb, .tibkp, .tiff, .tig, .tis, .tlg, .tmp, .tmr, .tor, .trn, .ttbk, .txt, .uci, .unrec, .upk, .v2i, .vbk, .vbm, .vbox-prev, .vcf, .vdf, .vfs0, .vpcbackup, .vpk, .vpp_pc, .vrb, .vtf, .w3x, .wallet, .wb2, .wbb, .wbcat, .wbk, .win, .wjf, .wma, .wmo, .wmv, .wotreplay, .wpb, .wpd, .wps, .wspak, .x3f, .xbk, .xf, .xlk, .xlk, .xls, .xml, .xxx, .yrcbck, .zip, .ztmp (416 расширений). 

Как известно от многочисленных жертв, UmbreCrypt мог быть установлен вручную посредством взлома терминальных служб или удаленного рабочего стола. Если ПК был инфицирован этим вымогателем, то нужно проверить журналы событий Windows на предмет неудачных попыток входа, и тем самым определить учётную запись, которая была скомпрометирована.

UmbreCrypt пропускает шифрование файлов, находящихся в директориях:
Windows, WINDOWS, Program Files, PROGRAM FILES, Program Files (x86), PROGRAM FILES (x86), ProgramData

Связанные с UmbreCrypt файлы:
%AppData%\ChromeSetings3264\
%AppData%\ChromeSetings3264\default32643264.bmp
%AppData%\ChromeSetings3264\default432643264.jpg
%AppData%\ChromeSetings3264\[random].exe
%UserProfile%\Desktop\README_DECRYPT_UMBRE_ID_[victim_id].jpg
%UserProfile%\Desktop\README_DECRYPT_UMBRE_ID_[victim_id].txt

Связанные с UmbreCrypt записи реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Internet Explorer Update    "[path_to_installer.exe]"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ChromeSettingsStart3264    "%AppData%\ChromeSetings3264\wosybiny.exe"
HKCU\Software\Microsoft\Windows\ChromeRandomAdress3264    [random].exe
HKCU\Software\Microsoft\Windows\ChromeSettiings3264    [path_to_installer.exe]
HKCU\Software\Microsoft\Windows\ChromeStarts3264    [path_to_installer.exe]
HKCU\Software\Microsoft\Windows\TRUECRT3264    TrueUMBRE

Степень распространенности: средняя.
Подробные сведения собираются. 

Ссылки:Cтатья на BC

воскресенье, 7 февраля 2016 г.

KryptoLocker

KryptoLocker Ransomware


Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует написать на email, чтобы узнать как выкуп и вернуть файлы. 

© Генеалогия: Hidden Tear >> KryptoLocker 

Основан на крипто-конструкторе HiddenTear.

Не путайте KryptoLocker с более известным CryptoLoker. Это совершенно другой вымогатель. 

Записка с требованием выкупа называется: KryptoLocker_README.txt


Содержание записки о выкупе:
You've been KryptoLocked!
All of your files have been encrypted and sent to our secure server.
You can verify this by checking your files.
Encryption was produced using a unique public key generated for this computer.
To your decrypt files, you need to obtain your private key.
To obtain your private key you will need to pay the fee of 0.5 BTC.
Upon payment you will receive your key and decrypter. We will also delete your files from our server.
This is a very straight forward process and you can recover your files within minutes.
There is no other way to recover the files without the unique private key.
To recover your files please get in touch by email: krypted@riseup.net

Перевод записки на русский язык:
Вы были KryptoLock'ированы!
Все ваши файлы зашифрованы и отправлены на наш защищенный сервер.
Вы можете убедиться в этом, проверив свои файлы.
Шифрование производилось с уникальный открытый ключом, созданным для этого компьютера.
Для расшифровки файлов вам надо получить свой приватный ключ.
Для получения приватного ключа вам надо заплатить комиссию в 0.5 BTC.
После оплаты вы получите ключ и расшифровщик. Мы также удалим ваши файлы с нашего сервера.
Это очень простой процесс и вы можете восстановить свои файлы за считанные минуты.
Нет другого способа восстановить файлы без уникального приватного ключа.
Для восстановления файлов напишите нам на email: krypted@riseup.net

Сетевые подключения и связи:
Email: krepted@riseup.net


© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 6 февраля 2016 г.

Sport

Sport Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем даже требует выкуп, чтобы вернуть файлы. Оригинальное название: неизвестно.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .sport

Активность этого крипто-вымогателя пришлась на начало февраля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: не найдена

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .jpg, .jpeg, .png, .xls, .xlsx, 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Sport)
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 5 февраля 2016 г.

JobCrypter

JobCrypter Ransomware

JobCrypter NextGen: Die Hard 4

(шифровальщик-вымогатель) 


   Этот крипто-вымогатель шифрует данные пользователей с помощью 3DES, (TripleDES), а затем требует выкуп, чтобы вернуть файлы обратно. 

Судя по тексту требования о выкупе, JobCrypter ориентирован только на французских пользователей. Для снятия блокировки файлов, пострадавшей стороне нужно заплатить выкуп в размере 300 евро с карты PaySafeCard. В последующих версиях сумма выкупа стала больше. 

Этимология названия: Название "JobCrypter" (работа + шифровальщик) призвано оправдать действия безработного шифровальщика-вымогателя, которому больше нечем заняться и негде заработать. 

К зашифрованным файлам добавляется расширение .locked или .css

© Генеалогия: Hidden Tear + 3DES >> JobCrypter > JobCrypter NextGen

Пик распространения этого вымогателя пришелся на февраль-март-апрель 2016 года. Примечательно, что немало инфицированных JobCrypter ПК оказалось на первых порах в Литве. Распространение продолжилось в 2017-2020 гг.

Записки с требованием выкупа называются: 
Comment débloquer mes fichiers.txt (Как разблокировать мои файлы)
Readme.txt (Прочти меня)
Записка на французском языке

Во французском тексте довольно много орфографических и грамматических ошибок, а это говорит о том, что этот язык не является родным для вымогателей. 

Перевод записки на русский язык:
Здравствуйте, мы люди без работы, не ищем проблем, просто хотим прокормить свои семьи, мы просим вас не глупить, 
Потому что это нехорошо для вас,
Мы зашифровали файлы с помощью персонального алгоритма и просим заплатить выкуп в 300 EURO, чтобы разблокировать файлы.
Мы гарантируем полное возвращение вашего файла и никогда больше не услышать о нас, итак, 
Об оплате: Оплата может быть выполнена с помощью доступной на всей территории Франции карты Paysafecard,
вот ссылка, чтобы быстро найти ближайшие точки продажи к вам:
hxxps: //wm.paysafecard.com/fr-fr/acheter/trouver-des-points-de-vente/
Любой запрос на снятие блокировки файлов без оплаты будет автоматически отклонен,
Мы принимаем только карты EURO 50 и 100 евро,
Пожалуйста, отправьте коды карты на один из следующих email-адресов:
geniesanstravaillee@outlook.fr
geniesanstravaillee@yahoo.fr
geniesanstravaillee@gmail.com
Не забудьте указать имя пользователя ПК в теме письма, Ваше имя пользователя: 0E66C256
В подтверждение доброй воли и доказательства вам, что это не афера,
Мы можем расшифровать 1 файл для вас бесплатно,
Пожалуйста, пришлите нам один из ваших зашифрованных файлов в качестве вложения к email, указанные выше и не забудьте указать идентификатор вашего ПК, чтобы мы могли взять ключ дешифрования от наших клиентов. 
Вы получите результат с кодом разблокировки в тот же день оплаты.
Мы приносим свои извинения за причиненные неудобства.

Позже, записка о выкупе стала внедряться в зашифрованные файлы. Примеры смотрите в обновлениях ниже. 



Технические детали

Распространяется с помощью email-спама и вредоносных вложений, которые могут содержать вредоносный JS-файл.  
Может распространяться путём взлома через незащищенную конфигурацию RDP, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Отключает настройки безопасности в браузере Internet Explorer.
 Изменяет файлы в папке расширений Chrome.
 Действия выглядят как кража личных данных.

 Добавляется в Автозагрузку и меню Пуск.
➤ При шифровании выполняется Base64 (TripleDES(Base64(filebytes))

Файлы, связанные с этим Ransomware:
Comment débloquer mes fichiers.txt - отдельный файл записки был только в ранних версиях. 
L o c k e r.exe
Screen.jpg - делается снимок экрана
<random>.exe - случайное название
C:\Users\User\AppData\Local\Temp\{name_malware}.exe
{name_malware}.js

Расположения:
%TEMP%\Screen.jpg
%APPDATA%\L o c k e r.exe

Сетевые подключения и связи: 
auth.smtp.1and1.fr

Степень распространенности: средняя.
Подробные сведения собираются. 



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Первые версии использовали записку о выкупе Comment débloquer mes fichiers.txt.
Последующие версии стали внедрять её содержимое в зашифрованные файлы, меняя только контакты и адреса. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 февраля 2017:
Пост в Твиттере >>
Файлы: L o c k e r.exe, FL.exe, Screen.jpg
Самоназвание:  J o b C r y p t e r
Email: frthnfdsgalknbvfkj@outlook.fr
frthnfdsgalknbvfkj@yahoo.com
frthnfdsgalknbvfkj@gmail.com 
Результаты анализов: HAVT

Обновление от 6 марта 2017:
Расширение: .css
Записка находится в зашифрованном файле.
Email: такие же, как раньше.
Видеообзор >>

Обновление от 2 августа 2018:
Пост в Твиттере >>
Расширение: .css
Записка находится в зашифрованном файле. 
Email: такие же, как раньше.



Не видно других различий. 

Результаты анализов: VT


Обновление от 13 августа 2018:
Расширение: .css
Email: hotline@adpresence.net, booba.karis2542@gmail.com
URL: auth.smtp.1and1.fr (212.227.15.168)
Фальш-имя: Opera Internet Browser
Результаты анализов:  VT


Обновление от 13 августа 2018:
Пост в Твиттере >>
Расширение: .css
Записка находится в зашифрованном файле. 
Сумма выкупа: 1000€
Email: heniesanstravaille@out1ook.fr
heniesanstravaille@yahoo.com
heniesanstravaille@gmai1.com
URL: auth.smtp.1and1.fr (212.227.15.184)
URL: xxxx://poislgam.fr/


Скриншот текста о выкупе

Скриншот сайта вымогателей

url-адреса
Результаты анализов: VT + HA 


JobCrypter NextGen

Промежуточное обновление: 
Самоназвание: Die Hard 4
Текст на английском языке.
Tor-URL: http://diehard4uty2z5cs.onion



Обновление от 5 мая 2020:
Пост в Твиттере >>
Расширение: .css
Самоназвание: Die Hard 4
Все тексты написаны на французском языке.
Tor-URL: http://diehard4uty2z5cs.onion
Email: WarlockdeDieHard4@protonmail.com
По-прежнему текст вымогателей внедрён в зашифрованные файлы.

 

Я сделал один файл анимационным, чтобы показать, как просмотреть содержимое в hex-редакторе (см. красную стрелку). 

 



Обновление от 12 мая 2020:
Пост в Твиттере >>
Расширение: .css
Email: patrick4452@protonmail.com
Пострадавшие получили поддельное письмо якобы от AXA Group (французская страховая и инвестиционная группа компаний). 
Файлы: hytrre.js, 745787747877.exe
Результаты анализов: VT + AR + IA + TG


➤ Содержание записки: 

Bonjour, 
Nous sommes des êtres humains sans emploi on cherche pas les problèmes, On veut juste nourrir nos familles, 
Nous vous demandons de ne pas faire des bêtises avec nous parce que ce n'est pas bien pour vous
Nous avons crypté tous vos fichiers En utilisant un algorithme renforcer, 
Et nous vous demandons de nous payer une rançon de 500 Euros pour décrypter et récupérer vos fichiers, 
Nous vous garantissons le déblocage total de vos fichiers et ne plus jamais entendre parler de nous, 
Contactez-nous sur l'un des e-mails citer là-dessous pour vous communiquer le moyen de paiement 
Pour vous prouver que nous pouvons décryptées et récupérer vous fichier,
Envoyez nous un seul fichier de format photo ou vidéo ou bien une musique pour le décryptage et nous le feront gratuitement, 
N'oubliez pas de citer sur l'e-mail identifiants suivants: C4BA3647
Votre identifiant nous permettra de localiser votre clé de décryptage parmi celles de nos clients,
patrick4452@protonmail.com
patrick4452@protonmail.com
patrick4452@protonmail.com
Si vous effectuer le payement dans la matinée du samedi au jeudi vous aurez la clé de décryptage après une ou deux heures au plus tard
Sinon vous serez obligé d'attendre 24 heures
Vous avez 15 jours pour payer à partir de cette date: 5/12/2020 1:36:26 PM
Si vous dépasser ce délai la rançon augmentera de 50 euros par jour, nous vous conseillons donc de respecter les délais citer là dessus 
Ne supprimer surtout pas ce fichier, car si vous le faites vous supprimer aussi votre fichier, descendez pour voir, 
Le texte que vous voyez en dessous si votre fichier crypté.
Merci.
***

Обновление от 8 июля 2020:
Пост в Твиттере >>
Расширение: .txt
Записка: в файле
Email: Olivier92747@protonmail.com
Пострадавшие получили поддельное письмо якобы от AXA Group (французская страховая и инвестиционная группа компаний). 


Файлы: officiel.exe, bntyhxd.js

Название проекта: officiel.pdb
Файл в Автозагрузке: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\bntyhxd.js
Результаты анализов: VT + HA + IA + AR + TG


➤ Содержание записки: 

Bonjour, 
Nous sommes des êtres humains sans emploi on cherche pas les problèmes, On veut juste nourrir nos familles, 
Nous vous demandons de ne pas faire des bêtises avec nous parce que ce n'est pas bien pour vous
Nous avons crypté tous vos fichiers En utilisant un algorithme renforcer, 
Et nous vous demandons de nous payer une rançon de 1000 Euros pour décrypter et récupérer vos fichiers, 
Nous vous garantissons le déblocage total de vos fichiers et ne plus jamais entendre parler de nous, 
Contactez-nous sur l'un des e-mails citer là-dessous pour vous communiquer le moyen de paiement 
Pour vous prouver que nous pouvons décryptées et récupérer vous fichier,
Envoyez nous un seul fichier de format photo ou vidéo ou bien une musique pour le décryptage et nous le feront gratuitement, 
N'oubliez pas de citer sur l'e-mail identifiants suivants: C4B*****
Votre identifiant nous permettra de localiser votre clé de décryptage parmi celles de nos clients,
Olivier92747@protonmail.com
Olivier92747@protonmail.com
Olivier92747@protonmail.com
Si vous effectuer le payement dans la matinée du samedi au jeudi vous aurez la clé de décryptage après une ou deux heures au plus tard
Sinon vous serez obligé d'attendre 24 heures
Vous avez 7 jours pour payer à partir de cette date: 7/8/2020 11:17:07 AM
Si vous dépasser ce délai la rançon augmentera de 50 euros par jour, nous vous conseillons donc de respecter les délais citer là dessus 
Ne supprimer surtout pas ce fichier, car si vous le faites vous supprimer aussi votre fichier, descendez pour voir, 
Le texte que vous voyez en dessous si votre fichier crypté.
Merci.
*****

Обновление от 11 августа 2020:
Пост в Твиттере >>
Расширение: .txt
Записка: в файле
Пример: ac3b9aed7fa9674757159e6d7d575672f9d98100941e9bdeffeca1313b75782d.sth.txt
Результаты анализов: VT + AR + IA + TG


➤ Содержание записки: 

*******you can't open files???****
Do not be afraid, you can recover all your files please follow the following steps
*** Step 1 Download Tor Browser ***
Here is the link to download Tor Browser: https: //www.torproject.org/en/download/languages/
Here is the link How to install TOR Browser on Windows: https://www.youtube.com/watch?v=ehQcx_6DsTw
                                                            *******Step 2 accessing our site*****
Open this site In the Tor browser : http://diehard4uty2z5cs.onion/
(Important)
This site only works with the Tor browser
***** What guarantees you have?****
You can send one of your encrypted file from your PC and we decrypt it for 5 dollar
But we can decrypt only 1 file for 5 dollar File must not contain valuable information.
Your personal ID: 7CD9E***
You have 7 days To buy your key from this date:
If you exceed the deadline will increase by 100 dollar per day, we therefore advise you to respect the deadlines mentioned above.
Thank you.
cordially Die Hard 4
;+GR1j5cwBH2Ww9eaHtLJjed/g+DYnZVbRrsyVeRLZ3*** [всего 877 знаков]


== 2021 ===

Вариант от 23 марта 2021:
Расширение: .txt
Записка: в файле
Email: olaggoune235@protonmail.ch, ouardia11@tutanota.com
Результаты анализов: VT + TG
---
➤ Содержание записки:
We are human beings without a job, we are not looking for problems, we just want to feed our families,
We encrypted all your files using a powerful algorithm.
We ask you to pay a ransom of 500 euros to decrypt and restore your files.
We guarantee your files will be fully opened
Contact us by email to communicate the payment method : 
olaggoune235@protonmail.ch
ouardia11@tutanota.com
***** What guarantee you? ****
You can send one of your encrypted files on your computer and we decrypt it for free
But we can only decrypt one file for free. The file must not contain valuable information.
Write this ID 80120786 in the title of your message 
You have 7 days to purchase your key from this date:
If you exceed the deadline it will increase by $ 100 per day, so we advise you to respect the above mentioned deadlines;ASHUEBt9gFiirc45+2h720SH/Ag***





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as JobCrypter)
 Topic of Support, later Write-up (March 19, 2018)

 🎥 Video review >>
 - Видеообзор от João Pena Gil (отдельный файл записки показан на 2 минуте видео)
 - Видеообзор от CyberSecurity GrujaRS (записка в зашифрованном файле)
 Thanks: 
 Michael Gillespie, MalwareHunterTeam, Emmanuel_ADC-Soft
 Tomas Meskauskas (first screenshot from pcrisk.com)
 Andrew Ivanov
 GrujaRS, Erez Yalon, João Pena Gil
 
© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *