Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 25 декабря 2016 г.

AdamLocker

AdamLocker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует перейти по ссылке, чтобы получить ключ дешифровки и вернуть файлы. Название оригинальное, другое: RW.adm_64. Разработчик: puff69.

© Генеалогия: AdamLocker.

К зашифрованным файлам добавляется расширение .adam

Активность этого криптовымогателя пришлась на декабрь 2016 г. Сначала puff69 делал блокировщики экрана без использования шифрования. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
ADAM LOCKER
Your computer has been infected by Adam! Random documents and files have been encrypted and a key generated to prevent further actions. To prevent this, please follow this link to get your unlock key.
Exiting This windows WILL cause the key to be destroyed!!!
button "Open"

Перевод записки на русский язык:
ADAM LOCKER
Ваш компьютер был заражен Adam! Случайные документы и файлы были зашифрованы, а ключ создан для предотвращения дальнейших действий. Чтобы предотвратить это, пожалуйста, перейдите по этой ссылке, чтобы получить ключ разблокировки.
Выход из этого окна приведет к тому, что ключ будет уничтожен!!!
Кнопка "Открыть"

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
a.exe
adam_64.exe
ProgramData\run.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> 
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Файлы можно дешифровать!

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as AdamLocker)
 Write-up
 *
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 24 декабря 2016 г.

Alphabet

Alphabet Ransomware

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1.0 биткоин, чтобы вернуть файлы. Оригинальное название: Alphabet. Среда разработки: Visual Studio 2015. Разработчик: NikiTos. Фальш-имя: Windows 10 Critical Update Service. Фальш-копирайт: Microsoft Corporation © 2016.

Обнаружения: 
DrWeb -> Trojan.Encoder.7468
BitDefender -> Generic.Ransom.Hiddentear.A.327B9D5E

© Генеалогия: Alphabet.

К зашифрованным файлам добавляется расширение .sv

Образец этого шифровальщика был найден в декабре 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Для успешной атаки на компьютере должен быть установлен .NET Framework 4.5.2. 

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста о выкупе:
Your computer has been struck by the Alphabet Ransomware. All your documents are encrypted with the strongest encryption algorithms.
There is no way to decrypt your files without purchasing a special decryption key and typing it here. To get the decryption key you should pay 1.0 BTC to the bitcoin address . 
If you won't pay after 5 hours, all the encrypted files will be permanently erased!
If you will kill this application, the decryption key will be destroyed aswell and NO ONE will be able to decrypt your files.
Decryption code: ***
button 'Decrypt'
Your files were encrypted on: 13:55:39

Перевод текста на русский язык:
Ваш компьютер был поражен Alphabet Ransomware. Все ваши документы зашифрованы с сильнейшим алгоритмом шифрования.
Нет никакого способа расшифровать файлы без покупки специального ключа дешифрования и ввода его здесь. Чтобы получить ключ дешифрования вы должны оплатить 1.0 BTC на биткоин-адрес ***
Если вы не заплатите через 5 часов, все зашифрованные файлы будут безвозвратно удалены!
Если вы будете убивать это приложение, ключ дешифрования будет также уничтожен и никто не сможет расшифровать ваши файлы.
Код дешифрования: ***
Кнопка 'Decrypt'
Ваши файлы были зашифрованы на: 13:55:39

Как оказалось, шифровальщик прикидывается файлом обновления Windows, потому демонстрирует пострадавшей стороне фальшивый экран установки критических обновлений Windows 10, а потом уже показывает экран с требованиями выкупа. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Alphabet.exe
<ransom>.exe
Alphabet.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 17T3wKnZByNR2uofqq5mdHY4bSUB2S4E3t
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Intezer анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (n/a)
 Write-up
 Thanks: 
 MalwareHunterTeam
 JaromirHorejsi
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KoKoKrypt

KoKoKrypt Ransomware
KokoLocker Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,1 биткоинов, чтобы вернуть файлы. На уплату выкупа даётся 72 часа. Название оригинальное, дано разработчиком в честь своего попугая Коко. Название файла: Encrypter. Фальш-имя: Windows Update. Разработчик: Talnaci Alexandru.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .kokolocker

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста о выкупе:
--- KoKoKrypt ---
All of your personal data got encrypted by KokoKrypt!
To unlock all your data of this computer, you have to do the following steps:
1. Get a Bitcoin Wallet
2. Get 0.1 BTC on it
3. Put your BTC Address below
4. Wait for decryption process
Payment may be delayed for 24/48 hours, so don't worry! You have 78h to pay!
After 78h, KoKoKrypt will uninstall itself and leave your files encrypted!
button "Pay using Bitcoin"

Перевод текста на русский язык:
--- KoKoKrypt ---
Все ваши личные данные были зашифрованы KokoKrypt!
Для разблокировки всех данных этого компьютера, вы должны сделать следующие шаги:
1. Получить Bitcoin-кошелек
2. Получить 0,1 BTC на него
3. Поместить свой BTC-адрес в поле ниже
4. Подождать, пока идёт процесс дешифрования
Оплата может задержаться на 24/48 часов, потому не волнуйтесь! У вас есть 78 часов на оплату! После 78 часов, KoKoKrypt удалит себя и оставит ваши файлы зашифрованными!
кнопка "Оплатить с Bitcoin"

Распространяется разработчиком по форумам. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Работает только на 64-разрядных системах с установленным .NET Framework 4.5, но может быть переписан для 32-разрядных систем. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
KoKoKryptControlPanel.exe
Ransoml.0.exe
Windows Update.exe
<random>.exe
<random>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик.
Скачать дешифровщик можно по ссылке >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up (n/a)
 *
 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

L33TAF Locker

L33TAF Locker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное, указано в записке о выкупе. Разработчик: staffttt (см. также его Fake CryptoLocker). 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .l33tAF

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
YOU_HAVE_BEEN_HACKED.txt

Содержание записки о выкупе:
Your files have been encrypted with L33TAF Locker!!!
Seeking technical help won't work because your files are encrypted with AES256/RSA4096 which is known as military grade encryption, it is impossible to retrieve your files without the decryption key!!!!!!!!!
If you want your files back you must pay a ransom of 5 btc to the address below
BTC address: 18vkm*****
After paying the ransom, contact supahotfiya@tuta.io and send 1 encrypted file from your machine.
When your payment is confirmed we will send you a decryption software specifically made for your machine.
If you fail to pay the ransom in 48 hours your decryption key will be destroyed and your files will remain encrypted forever!!!!!

Перевод записки на русский язык:
Ваши файлы были зашифрованы L33TAF Locker!!!
Поиск технической помощи не поможет, потому что ваши файлы зашифрованы с AES256/RSA4096, известным как шифрование военного класса, невозможно восстановить файлы без ключа дешифрования!!!!!!!!!
Если вы хотите вернуть ваши файлы, то должны заплатить выкуп в размере 5 BTC по указанному ниже адресу
BTC-адрес: 18vkm8*****
После уплаты выкупа свяжитесь с supahotfiya@tuta.io и отправьте 1 зашифрованный файл с вашего компьютера.
После подтверждения оплаты мы вышлем вам программу дешифрования, специально сделанную для вашей машины.
Если вы не можете заплатить выкуп в течение 48 часов, ваш ключ дешифрования будет уничтожен, а ваши файлы останутся
зашифрованными навсегда!!!!!

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as L33TAF Locker)
 Write-up
 *
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles. 

пятница, 23 декабря 2016 г.

PClock4, SysGop

PClock4 Ransomware

PClock SysGop Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей якобы с помощью RSA-2048, а затем требует выкуп в 0,6 - 1,6 биткоинов, чтобы вернуть файлы. Сумма может различаться. На уплату выкупа даётся 5 суток (120 часов) под таймер. Вымогатели называют его CryptoLocker, запугивая пострадавших громким названием, а может быть даже позаимствовали у него часть кода. 

© Генеалогия: WinMav (2015 г.) > PClock, PClock2 > PClock3 (SuppTeam) > PClock4 (SysGop)

К зашифрованным файлам никакое расширение не добавляется. Имена файлов и их расширения также не изменяются.

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
Your files are locked !.txt и пр. с 2-3-4-5 знаками "!"

Содержание записки о выкупе:
Support e-mail: sysgop01@india.com sysgop02@india.com
Your personal files encryption produced on this computer: photos, videos, documents, etc.
Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files,
located on a secret server on the Internet; the server will destroy the key after 120 hours.
After that nobody and never will be able to restore files.
To obtain the private key for this computer, you need pay 0.9 Bitcoin (~741 USD)
---
Your Bitcoin address:
1ApV1YVGTEAWosdV3Wk8yaXaUooPpNg525
You must send 0.9 Bitcoin to the specified address and report it to e-mail customer support.
In the letter must specify your Bitcoin address to which the payment was made.
---
The most convenient tool for buying Bitcoins in our opinion is the site:
xxxs://localbitcoins.com/
There you can buy Bitcoins in your country in any way you like, including electronic payment systems,
credit and debit cards, money orders, and others.
Instructions for purchasing Bitcoins on account localbitcoins.com read here:
xxxs://localbitcoins.com/guides/how-to-buy-bitcoins
Video tutorial detailing on buying Bitcoins using the site localbitcoins.com here:
xxx://www.youtube.com/watch?v=hroPcR-0zSI
How to withdraw Bitcoins from account localbitcoins.com to our bitcoin wallet:
xxxs://localbitcoins.com/faq#howto_buy
Also you can use to buy Bitcoins these sites:
xxxs://www.bitstamp.net/ - Big BTC exchanger
xxxs://www.coinbase.com/ - Other big BTC exchanger
xxxs://www.moneypakforbitcoins.us/ - Buy BTC via Green Dot MoneyPak
xxxs://btcdirect.eu/ - Best for Europe
xxxs://coincafe.com/ - Recommended for fast, many payment methods
xxxs://bittylicious.com/ - Good service for Europe and World
xxxs://www.247exchange.com/ - Other exchanger

Перевод записки на русский язык:
Поддержка email: sysgop01@india.com sysgop02@india.com
Ваши личные файлы, подвергнутые шифрованию на этом компьютере: фото, видео, документы и т.д.
Шифрование было произведено с уникальным открытым ключом RSA-2048, созданным для этого компьютера.
Для расшифровки файлов вам нужно получить закрытый ключ.
Единственный экземпляр секретного ключа, который позволит расшифровать файлы, расположен на секретном сервере в сети Интернет; сервер уничтожит ключ после 120 часов.
После этого никто и никогда не сможет восстановить файлы.
Для получения секретного ключа для этого компьютера, вам нужно заплатить 0,9 Bitcoin (~ 741 USD)
---
Ваш Bitcoin адрес:
1ApV1YVGTEAWosdV3Wk8yaXaUooPpNg525
Вы должны послать 0,9 Bitcoin по указанному адресу и сообщить это на email поддержки клиентов.
В письме необходимо указать свой Bitcoin-адрес, с которого был сделан платеж.
---
Самый удобный инструмент для покупки Bitcoins на наш взгляд это сайт:
xxxs://localbitcoins.com/
Там вы можете купить биткоины в вашей стране, любом способом, каким захотите, в том числе электронными платежными системами, кредитными и дебетовыми картами, денежными переводами и пр.
Инструкции по покупке Bitcoins по счету localbitcoins.com читайте здесь:
xxxs://localbitcoins.com/guides/how-to-buy-bitcoins: XXX сек
Видео-учебник подробно о покупке Bitcoins с помощью сайта localbitcoins.com здесь:
xxxs://www.youtube.com/watch? v = hroPcR-0zSI
Как вывести биткоины со счета localbitcoins.com на наш Bitcoin-кошелек:
xxxs://localbitcoins.com/faq#howto_buy
Также вы можете использовать, чтобы купить Bitcoins эти сайты:
xxxs:///www.bitstamp.net/ - большой BTC обменник
xxxs://www.coinbase.com/ - другой большой BTC обменник
xxxs://www.moneypakforbitcoins.us/ - купить BTC с помощью Green Dot MoneyPak
xxxs://btcdirect.eu/ - Лучше всего подходит для Европы
xxxs://coincafe.com/ - Рекомендуется для быстрой работы, много способов оплаты
xxxs://bittylicious.com/ - Хороший сервис для Европы и мира
xxxs://www.247exchange.com/ - другой обменник

В роли информатора выступают также блокировщик экрана с несколькими окнами и скринлок, встающий обоями рабочего стола. Тексты немного отличаются: на экранах больше, чем в текстовой записке, на обоях меньше. 

Распространяется с помощью email-спама и вредоносных вложений, например, тема письма может называться "PLEASE READ YOUR FAX T6931" (Пожалуйста, прочтите ваш факс...), а во вложении может быть архивированный файл с кричащим названием "Criminal case against you..." (Уголовное дело против вас...), которое буквально вынуждает пользователей немедленно открыть файл. В архиве находится WSF-файл. Когда пользователь открывает архив и запускает файл WSF, то JScript-функция начинает серию операций, скачивает и устанавливает троян-загрузчик Crimace, который подключается к интернет-серверу, загружает и запускает другие вредоносные программы, а в данном случае — PClock.

Также PClock может распространяться с помощью эксплойтов, фальшивых обновлений известный легитимных программ, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

._eml, .000, .001, .002, .113, .123c, .123d, .123dx, .1ph, .2d, .2mg, .360, .3d, .3d2, .3d4, .3da, .3dc, .3df, .3dl, .3dm, .3dmf, .3dmk, .3don, .3dp, .3dr, .3ds, .3dt, .3dv, .3dw, .3dx, .3dxml, .3fr, .3g2, .3ga, .3gp, .3gp2, .3gpp, .3gpp2, .3mm, .3p2, .4db, .4dd, .4dv, .4mp, .4th, .4ui, .60d, .6cm, .73b, .787, .7z, .7z.001, .7z.002, .8cm, .8pbs, .8svx, .8xi, .9.png, .a, .a00, .a01, .a02, .a2c, .a2m, .a3w, .a4m, .a4p, .a4w, .a52, .a5rpt, .a5w, .a65, .aa, .aa3, .aac, .aam, .aao, .aax, .ab3, .abcd, .abdata, .abf, .abk, .abm, .abw, .abx, .aby, .ac3, .ac5, .ac6, .accdb, .accde, .accdr, .acd-zip, .ace, .ar, .as2proj, .as3proj, .as4, .asat, .asc, .ascii, .ascs, .asd, .ase, .ashprj, .ashx, .asm, .asnd, .asp, .aspx, .asw, .at3, .ate, .ati, .atl, .atm, .atr, .atrac, .au, .au3, .aud, .aup, .aut, .ava, .avchd, .avhd, .avi, .avp, .awb, .awd, .awdb, .awm, .aww, .axx, .ay, .azf, .azs, .azw, .azw1, .azw3, .azw4, .azz, .b1, .b2a, .b3d, .b4s, .b5i, .b64, .b6i, .ba, .bac, .bak, .bak~, .bak2, .bak3, .bakx, .band, .bap, .bas, .bay, .bb, .bbc, .bbcd, .bcf, .bci, .bck, .bcl, .bcm, .bdb, .bdf, .bean, .bet, .bfa, .bfc, .bfx, .bgt, .bh, .bho, .bhx, .bib, .bidule, .bik, .bim, .bix, .bk1, .bkc, .bkf, .bkk, .bkp, .bks, .bld, .c, .cawr, .cbl, .cbp, .cbr, .cbu, .cbz, .cc, .cca, .ccb, .ccd, .ccf, .cch, .ccr, .ccs, .cct, .cd, .cd2, .cd5, .cdb, .cdd, .cdda, .cddx, .cdf, .cdg, .cdi, .cdm, .cdmm, .cdmt, .cdmtz, .cdmz, .cdo, .cdpx, .cdpz, .cdr, .cdt, .cdw, .cdz, .ce, .ceb, .cedprj, .cef, .cel, .celtx, .cf2, .cfa, .cff, .cfs, .cg, .cg3, .cga, .cgm, .cgp, .ch3, .chef, .chg, .chml, .chn, .cib, .cif, .cil, .cimg, .cin, .cit, .ck9, .ckd, .ckf, .ckp, .ckt, .cl2, .cl2arc, .cl2doc, .cl2lyt, .cl2tpl, .cl4, .cl5, .class, .clb, .clg, .clk, .cls, .clx, .cm10, .cmap, .cmbl, .cmf, .cmmp, .cmod, .cmx, .cmz, .cna, .cnd, .cng, .cnm, .cnv, .cob, .dbpro, .dbproj, .dbr, .dbs, .dbt, .dbv, .dbx, .dc, .dc2, .dc3, .dc4, .dca, .dcb, .dcd, .dce, .dcf, .dcm, .dco, .dcpf, .dct, .dcx, .dd, .ddl, .ddrw, .dds, .ddt, .ded, .deproj, .des, .design, .det, .dev, .dex, .df1, .df2, .dfc, .dff, .dfg, .dfk, .dfproj, .dfs, .dft, .dfx, .dgb, .dgc, .dgk, .dgn, .dgs, .dib, .dicom, .dif, .dig, .dim, .dime, .dis, .divx, .djr, .djv, .djvu, .dke, .dls, .dlv, .dlx, .dm, .dm3, .dmb, .dmf, .dmo, .dmr, .dms, .dmsa, .dw, .dwa, .dwd, .dwf, .dwfx, .dwg, .dwp, .dwz, .dx, .dxb, .dxf, .dxg, .dxr, .dz,.e, .e01, .e4a, .e57, .eap, .ear, .ebk, .ecm, .ecp, .ecs, .eda, .edat2, .edb, .ede, .edf, .edfx, .edg, .edge, .edk, .edn, .edq, .edrwx, .eds, .edv, .efa, .efe, .efk, .efl, .efq, .efr, .efs, .efu, .efv, .efx, .egc, .egg, .egp, .eio, .eip, .ekb, .el, .email, .emc, .eml, .emlx, .enc, .enex, .ep, .epf, .epi, .epp, .eps, .epsf, .epub, .eql, .er1, .erf, .erl, .es2, .esb, .esf, .eui, .evo, .evr, .evy, .ewb, .ewd, .ex, .exb, .exl, .exm, .exp, .exr, .exw, .eye, .ezp, .f04, .f06, .f32, .f3d, .f4a, .f4p, .f4v, .f64, .f90, .fac, .face, .face, .ftn, .ftw, .fwdn, .fx, .fxa, .fxcproj, .fxl, .fxm, .fxml, .fxs, .fz, .fza, .fzf, .fzp, .fzz, .g3, .g721, .g723, .g726, .gal, .gan, .gb1, .gb2, .gbap, .gbas, .gbi, .gbk, .gbs, .gca, .gcd, .gcdp, .gcw, .gcx, .gdf, .gdrive, .gds, .ged, .gem, .gen, .geo, .gexf, .gfar, .gfb, .gfe, .gfp, .gho, .ghs, .gi, .gig, .gih, .gkh, .gl, .gla, .glade, .glb, .gld, .glox, .gls, .gm, .gm6, .gm81, .gmd, .gmk, .gmspr, .gmx, .gmz, .gno, .gom, .gp3, .gp5, .gpd, .gpf, .gpg, .gpj, .gpp, .gpr, .gra, .grade, .grasp, .grf, .grn, .gro, .grob, .groove, .groovy, .grr, .gry, .gs3, .gsd, .gsm, .gsproj, .gszip, .gtar, .gtp, .gts, .iff, .iges, .igs, .igx, .iiq, .ilbm, .ildoc, .ima, .imd, .imf, .img, .imj, .imz, .incd, .inct, .incx, .ind, .indb, .indd, .inds, .ink, .inl, .inm, .ino, .int, .ipd, .ipf, .ipj, .ipk, .ipn, .ipt, .ipx, .ircp, .irf, .irock, .irp, .irx, .ish, .ish2, .ish3, .isma, .ismv, .iso, .isoz, .isz, .iv, .iv2i, .iva, .ive, .ivf, .ivr, .iw, .iwxdata, .iwz, .ix2, .ixa, .ixb, .ize, .izz, .izzy, .j, .j2c, .j2k, .j3o, .jac, .jam, .jar.pack, .jas, .jav, .java, .jb2, .jbc, .jbig, .jbig2, .jbk, .jbmp, .jclic, .jcp, .jed, .jfif, .jfsl, .jic, .jif, .jiff, .jis, .jng, .jo, .jo-7z, .job, .joe, .jp1, .jp2, .jpc, .jpe, .jpe, .l, .lzh, .lzma, .lzo, .lzx, .m, .m12, .m15, .m1a, .m1pg, .m1v, .m21, .m2a, .m2t, .m2ts, .m2v, .m3, .m4a, .m4b, .m4e, .m4p, .m4r, .m4v, .m75, .ma, .ma1, .mag, .magik, .mani, .mars, .mart, .mat, .mav, .maw, .max, .maxc, .mb, .mbb, .mbd, .mbf, .mbk, .mbm, .mbw, .mc2, .mcd, .mcdx, .mcf, .mcp, .mcrp, .mcs, .mcsp, .mcsx, .mcxe, .md, .md0, .md1, .md2, .md8, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mdinfo, .mdl, .mdx, .mdzip, .med, .mef, .meo, .mer, .mesh, .mfa, .mfp, .mga, .mgcb, .mgf, .mgmt, .mgmx, .mgs, .mgtx, .mic, .mid, .midi, .mig, .mim, .mime, .min, .mip, .mix, .mj2, .mjp, .mjpg, .mk3d, .mka, .mkv, .mve, .mvex, .mvp, .mvy, .mwb, .mws, .mwx, .mx, .mx3, .mx4, .mx5, .mxf, .mxs, .mxv, .myd, .myl, .mys, .mzp, .na2, .nap, .nb, .nb7, .nba, .nbak, .nbc, .nbd, .nbf, .nbp, .nbs, .nbu, .nc, .ncd, .nco, .ncor, .ncorx, .ncr, .nct, .nef, .neko, .neo, .neu, .nfb, .nfc, .nff, .nfi, .ngc, .ngd, .nim, .njx, .nmp, .nmsv, .nni, .nnp, .npf, .npp, .npr, .nps, .nqc, .nrbak, .nrg, .nri, .nrt, .nrw, .nsa, .nsv, .ntf, .nut, .nuv, .nvc, .nvf, .nvram, .nwbak, .nwc, .nwctxt, .nwd, .nwf, .nxc, .nzb, .oab, .oar, .obd, .obk, .occ, .oci, .ocr, .odb, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .oeb, .ofc, .off, .ofr, .oga, .p, .pef, .pem, .pep, .pex, .pez, .pf, .pfc, .pfd, .pfi, .pfl, .pfv, .pfx, .pgd, .pgf, .pgi, .pgm, .pgp, .pgpf, .pgx, .phb, .phj, .phl, .photoshow, .php, .php3, .php4, .php5, .phtm, .phtml, .pi1, .pi2, .pi3, .pi4, .pi5, .pi6, .pic, .picnc, .pict, .pigs, .pika, .pim, .pis, .pit, .pix, .piz, .pjpeg, .pjpg, .pjx, .pkey, .pkg, .pl1, .pl2, .pla, .pln, .plproj, .plt, .ply, .pm3, .pm4, .pm5, .pm6, .pmatrix, .pmd, .pmf, .pmg, .pmlz, .pmm, .pmo, .pna, .pni, .pnm, .pnproj, .pnpt, .pnt, .pntg, .pobi, .pobj, .pod, .pop, .pov, .pp2, .pp4, .pp5, .ppc, .ppcx, .ppf, .ppj, .ppk, .ppm, .ppr, .pps, .ppsm, .ppsx, .ppt, .qdt, .qel, .qic, .qif, .qml, .qpb, .qpf, .qpw, .qrp, .qsd, .qt, .qti, .qtif, .qtm, .qtz, .quiz, .quox, .qvp, .qvw, .qx, .qxb, .qxd, .qxf, .qxp, .r, .r0, .r00, .r01, .r02, .r03, .r1, .r2, .r21, .r30, .r3d, .ra, .rad, .raf, .ral, .ram, .rar, .rar5, .ras, .ratdvd, .raw, .rax, .ray, .rb, .rbc, .rbf, .rbp, .rbw, .rcd, .rcl, .rcx, .rcy, .rdb, .rdi, .rdl, .rdlx, .rds, .rdx, .rec, .record, .rev, .rex, .rfp, .rgb, .rgf, .rgmb, .s, .sat, .sb, .sb2, .sbb, .sbd, .sbg, .sbk, .sbp, .sbs, .sbu, .sbw, .scad, .scg, .sci, .scm, .scn, .sco, .scp, .sct, .scu, .scv, .scw, .scx, .scz, .sd, .sd2, .sd2f, .sda, .sdb, .sdc, .sdd, .sdf, .sdg, .sdii, .sdm, .sdo, .sdoc, .sdr, .sds, .sdsk, .sdv, .sdw, .sdx, .sdz, .sec, .sedprj, .sef, .seg, .sep, .ser, .sesx, .sf, .sfc, .sfera, .sff, .sfpack, .sfs, .sfvidcap, .sfw, .sfx, .sgi, .sgml, .sgn, .sgp, .sgz, .sh3d, .sh3f, .shg, .shn, .show, .shp, .sht, .shtm, .shtml, .shw, .shy, .si, .sid, .sig, .sim, .sit, .sitx, .siv, .sk1, .sk2, .skb, .skc, .skf, .skl, .skm, .skp, .skr, .skv, .sl, .sla, .sla.gz, .slb, .sxi, .sxw, .syn, .syw, .t, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t2ks, .t2kt, .t3001, .t3d, .t64, .taac, .tab, .tak, .tao, .tar.gz, .tar.gz2, .tar.lzma, .tar.xz, .tax08, .tax09, .tax10, .tax11, .tax12, .tax13, .taz, .tbk, .tbp, .tbz2, .tc, .tcc, .tcr, .tcw, .tcx, .td0, .tda3mt, .tdb, .tddd, .tex, .text, .tg, .tg4, .tga, .tgd, .tgo, .thl, .thm, .thp, .thx, .tib, .tif, .tiff, .tivo, .tjp, .tk3, .tl5, .tlb, .tlg, .tlh, .tli, .tlp, .tlz, .tm, .tm2, .tm8, .tmb, .tmb, .tmc, .tmd, .tme, .tmv, .tn1, .tn2, .tn3, .tne, .tnef, .tny, .toast, .toc, .tod, .top, .topc, .topprj, .vd, .vfw, .vhd, .vhdx, .vic, .vid, .video, .viewlet, .viff, .vis, .viv, .vivo, .vix, .vlab, .vle, .vlg, .vlp, .vlt, .vmdk, .vml, .vmo, .vmsd, .vmsn, .vmss, .vna, .vnt, .vob, .voc, .voi, .vox, .voxal, .voxb, .vp, .vp3, .vp6, .vp7, .vpd, .vpe, .vpj, .vpm, .vpp, .vpw, .vqf, .vrf, .vrl, .vrml, .vs4, .vsd, .vsdm, .vsdx, .vse, .vsh, .vsmproj, .vsp, .vsq, .vst, .vstm, .vstx, .vtx, .vud, .vue, .vvd, .vw, .vyf, .w, .w02, .w3d, .w64, .wb1, .wb2, .wb3, .wbb, .wbc, .wbd, .wbk, .wbs, .wcat, .wcm, .wcp, .wdb, .wdf, .wdp, .web, .webm, .webp, .wem, .wgp, .wgs, .wi, .wic, .wlmp, .wlp, .wma, .wmga, .wmmp, .wmp, .wmt, .wmv, .xz, .y, .y4m, .yab, .yaodl, .ybk, .ydl, .ygf, .yka, .ym, .yml, .yml2, .ync, .yog, .ypr, .yuv, .yz, .yz1, .z3d, .zab, .zabw, .zap, .zdp, .zfx, .zgm, .zi, .zif, .zip, .zipx, .zix, .zl, .zm1, .zm2, .zm3, .zmv, .zoo, .zpi, .zps, .zvr, .zw, .zz (1344 расширения без повторов).

Должно быть 2630 типов файлов, это документы MS Office, OpenOffice, PDF, базы данных, фотографии, музыка, видео, образы дисков, файлы бэкапов, общие сетевые папки и пр.

Файлы и папки, связанные с этим Ransomware:
Your files are locked !.txt - записка о выкупе
Your files are locked !!.txt - записка о выкупе
Your files are locked !!!.txt - записка о выкупе
Your files are locked !!!!.txt - записка о выкупе
Your files are locked !!!!.txt - записка о выкупе
sysgop.exe - исполняемый файл
DSS - специальный файл
en_files.txt и en_gfiles.txt - списки зашифрованных файлов
wp.jp - файл обоев
<random>.tmp
tmp.vbs
System.dll
sphygmus.dll
Pushstart.LcGA
и другие. 

Расположения:
%Desktop%\Your files are locked !.txt - записка о выкупе
%Desktop%\Your files are locked !!.txt - записка о выкупе
%Desktop%\Your files are locked !!!.txt - записка о выкупе
%Desktop%\Your files are locked !!!!.txt - записка о выкупе
%Desktop%\Your files are locked !!!!.txt - записка о выкупе
%APPDATA%\Microsoft\Crypto\sysgop.exe
%AppData%\Microsoft\Crypto\RSA\ - новый файл в папке
%ProgramData%\Microsoft\Crypto\RSA\ - новый файл в папке
%Users%\PSPUBWS\AppData\Roaming\Microsoft\Crypto\sysgop.exe
%Users%\lSD42Db\AppData\Local\Temp\nsw4B15.tmp
%Users%\lSD42Db\AppData\Local\Temp\nsw4B15.tmp\System.dll
%TEMP%\sphygmus.dll
%TEMP%\Pushstart.LcGA

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.pap-agro.eu
www.networkproje.com
india.com
specmacenter.com
www.diagservicepro.fr
xxxx://nsis.sf.net/nsis_error
xxxx://blockchain.info/q/24hrprice
xxxx://blockchain.info/q/getreceivedbyaddress/
mobilamythos.ro
sysgop01@india.com
sysgop02@india.com
хттп://blockchain.info

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Deepviz анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются регулярно.

Обновление от 12-20 апреля 2017:
Записка: Your files are locked !!!!.txt
Сумма выкупа: 0.25 BTC
Email: sp02@protonmail.com support01@t.pl
В папке пользователя создается файл типа cl_data_#.bak
Например, cl_data_1EsGwswLER4iw9vVJUEte9LT6M8Q6txj6q.bak
Где # или 1EsGwswLER4iw9vVJUEte9LT6M8Q6txj6q — это биткоин-адрес для оплаты выкупа.
Верхняя часть текста текстовой записки о выкупе:
Your personal files encryption produced on this computer: photos, videos, documents, etc.
Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
If your time is up, or you or your antivirus deleted CryptoLocker from your computer,
and you do not see CryptoLocker window - the latest copy of the key remains our support.
To obtain the private key for this computer, you need pay 0.25 Bitcoin (~305 USD)
Your Bitcoin address:
1EsGwswLER4iw9vVJUEte9LT6M8Q6txj6q
You must send 0.25 Bitcoin to the specified address and report it to e-mail customer support.
In the letter title you must specify your Bitcoin address to which the payment was made.
Support e-mail: sp02@protonmail.com support01@t.pl
Please do not contact customer support with the request to get the key for free.
Such messages will be marked as spam and decryption in the future will be impossible.
Thank you for understanding.
Скриншоты записки и экрана блокировки:
 



 Read to links: 
 Topic on BC
 ID Ransomware (ID as PClock Updated)
 Write-up
 *
 Thanks: 
 BleepingComputer
 Michael Gillespie
 Thyrex
 
 

© Amigo-A (Andrew Ivanov): All blog articles.

Guster

Guster Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,4 биткоина, чтобы вернуть файлы. Название оригинальное. Разработчик: nickolas

© Генеалогия: HiddenTear >> Guster

К зашифрованным файлам добавляется расширение .locked

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста о выкупе:
All of your files (documents, videos, photos, musics, pdfs, etc) have been encrypted with a strong military cryptography.
The only way you have to get your files back to you, is paying a fee of 0.4 bitcoins, which worth something about 300,00 USD.
You can buy bitcoins in various sites all over the web, like localbitcoins.com and various others. If you try to delete me or something funny,
I SWEAR I'll blow up your whole files and you're never going to see it again.
It's serious!
You have 48 hours to pay me these bitcoins or you'll never get to see yours files again! You’re warned!
Follow these steps in order to get your files back:
1 - Go to a Bitcoin exchange sale and buy exactly 4 BTCs
1.1 -  You can take a look at some of these sort of sites here https://www.bestbitcoinexchange.io
2 - Send an email with your ID to nucklearsupport@yandex.ru
3 - Wait for a email-reply with more instructions
3.1 - It may take about 6-8 hours, if it takes more than that, send the email again. FAAAST!
3.2 - Remember! You have only 48 hour, so you better hurry up!
4 - After following all the steps (including email reply steps), you'll get the PASSWORD  to decryption.
5 - Type the password in the indicated field
6 - Click on 'Decrypt'
7 - It's done. Your files will be decrypted!
Your ID: ***

Перевод записки на русский язык:
Все файлы (документы, видео, фото, музыка, PDF и т.д.) были зашифрованы с сильной военной криптографией.
Только одним способом вы можете получить ваши файлы обратно, платить взнос в размере 0,4 биткоина, это около 300,00 долларов США.
Вы можете купить биткойны в разных местах по всей сети, как localbitcoins.com и другие. Если вы попробуете удалить меня или что-то учудить,
Я клянусь, что я взорву целые файлы и вы никогда не увидите их снова.
Это серьезно!
У вас есть 48 часов, чтобы заплатить мне эти биткоины или никогда не увидите свои файлы! Вы предупреждены!
Выполните следующие действия для того, чтобы получить файлы обратно:
1 - Перейти к Bitcoin обмену продаже и купить ровно 4 BTC
1.1 - Вы можете посмотреть на некоторые подобные сайты здесь https://www.bestbitcoinexchange.io
2 - Отправьте по email с вашим ID для nucklearsupport@yandex.ru
3 - Подождите почтового ответа с дополнительными инструкциями
3.1 - Это может занять около 6-8 часов, если длится больше, отправьте email снова. БЫЫЫСТРО!
3.2 - Помните! У вас есть только 48 часа, так что лучше поторопиться!
4 - После выполнения всех шагов (включая шаги ответа по email), вы получите пароль для дешифрования.
5 - Введите пароль в указанном поле
6 - Нажмите на 'Decrypt'
7 - Сделано. Ваши файлы будут расшифрованы!
Ваш ID: ***

Этот Ransomware использует VBS-скрипт для речевого сообщения первых двух предложений из записки с требованием выкупа. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Guster.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://goolserver.ultimatefreehost.in/proxy.php?idnt - C2
nucklearsupport@yandex.ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Video review
 ID Ransomware
 Write-up
 *
 *
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *