Если вы не видите здесь изображений, то используйте VPN.

пятница, 27 января 2017 г.

CryptConsole 1.0

CryptConsole-1 Ransomware

(фейк-шифровальщик)


Этот вымогатель якобы шифрует файлы пользователей с помощью AES, а затем требует выкуп в 0,25 биткоина за фейк-дешифровку. Название оригинальное. Написан на языке .NET. 
---
Обнаружения:
ALYac -> Trojan.Ransom.CryptConsole
Avira (no cloud) -> HEUR/AGEN.1106285, TR/FileCoder.crvdr
BitDefender -> Generic.Ransom.CryptConsole.6561C7EF
DrWeb -> Trojan.MulDrop8.22937, Trojan.MulDrop7.19118
ESET-NOD32 -> A Variant Of MSIL/Filecoder.EN
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Trojan.Agent.Gen
Microsoft -> Ransom:Win32/FileCryptor
Rising -> Ransom.FileCryptor!8.1A7 (CLOUD), Ransom.FileCryptor!8.1A7 (C64*
Symantec -> ML.Attribute.HighConfidence
Tencent -> Malware.Win32.Gencirc.114b0199, Malware.Win32.Gencirc.114d4a93
TrendMicro -> Ransom_HPCONSOLE.SMI0, Ransom_CRYPSOLE.SM
---

© Генеалогия: CryptConsole-1 > CryptConsole-2 > 
CryptConsole-2-2018 > CryptConsole-3-2018

Изображение — логотип статьи

Мне сначала не было известно о версиях этого вымогателя, потому я условно разделил их на 1-ю и 2-ю версии. Потом это стало явным.  

К якобы зашифрованным файлам прибавляется некое недорасширение по шаблону: 
[ransom_email]_[0-9A-Z]
[ransom_email]_[random_0-9A-Z]

С известными нам email вымогателей это будет выглядеть как:
unCrypte@outlook.com_[hex] или unCrypte@outlook.com_[random_0-9A-Z]
unCrypte@india.com_[hex] или unCrypte@india.com_[random_0-9A-Z]
decipher_ne@outlook.com_[hex] или decipher_ne@outlook.com_[random_0-9A-Z]
decipher_ne@india.com_[hex] или decipher_ne@india.com_[random_0-9A-Z]

Пример якобы зашифрованного файла:
unCrypte@outlook.com_91CFABE91D02B572FFD6EBFABCFC123D86DBCEAB5B33902D229477A5020C40A188EE08194D0301838C914FD6CF94DD48


Так выглядят якобы зашифрованные файлы

Как оказалось впоследствии, этот вымогатель не шифрует сами файлы, а только переименовывает их названия. 

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: How decrypt files.hta
Они заимствованы у Globe Ransomware, под которого, видимо, косят. 
 

Содержание записки о выкупе:
Your files are encrypted!
Your personal ID 764F6A6664514B414373673170615339554A534A5832546A55487169644B4A35
Discovered a serious vulnerability in your network security.
No data was stolen and no one will be able to do it while they are encrypted.
For you we have automatic decryptor and instructions for remediation.
How to get the automatic decryptor:
1) Pay 0,25 BTC
Buy BTC on one of these sites:
xxxs://localbitcoins.com
xxxs://www.coinbase.com
xxxs://xchange.cc
bitcoin adress for pay:
1KG8r***
Send 0,25 BTC
2) Send screenshot of payment to unCrypte@outlook.com. In the letter include your personal ID (look at the beginning of this document).
3) You will receive automatic decryptor and all files will be restored
* To be sure in getting the decryption, you can send one file (less than 10MB) to unCrypte@outlook.com In the letter include your personal ID (look at the beginning of this document). But this action will increase the cost of the automatic decryptor on 0,25 btc...
Attention!

• No Payment = No decryption
• You really get the decryptor after payment
• Do not attempt to remove the program or run the anti-virus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders other users are not compatible with your data, because each user's unique encryption key

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш персональный ID 764F6A6664514B414373673170615339554A534A5832546A55487169644B4A35
Обнаружена серьезная уязвимость в безопасности вашей сети.
Никакие данные не были украдены и никто не сможет сделать это пока они зашифрованы.
Для вас у нас есть автоматический дешифровщик и инструкции по восстановлению.
Как получить автоматический дешифратор:
1) Оплатить 0,25 BTC
Купить BTC на одном из этих сайтов:
xxxxs://localbitcoins.com
xxxxs://www.coinbase.com
xxxxs://xchange.cc
Bitcoin-адрес для оплаты:
1KG8r***
Отправить 0,25 BTC 
2) Отправить скриншот оплаты на unCrypte@outlook.com. В письме указать свой ID (смотри в начале этого документа).
3) Вы получите автоматический дешифровщик и все файлы будут восстановлены
* Для уверенности в получении дешифровки вы можете отправить один файл (меньше 10 МБ) на unCrypte@outlook.com. В письме указать свой ID (смотри в начале этого документа). Но это действие увеличит стоимость автоматического дешифратора на 0,25... BTC
Внимание!
• Нет оплаты = Нет дешифрования
• Вы действительно получите декриптор после оплаты
• Не пытайтесь удалить программу или запустить антивирус
• Попытка самому дешифровать файлы приведет к потере ваших данных
• Декодеры других пользователей несовместимы с вашими данными, т.к. ключ шифрования уникален для каждого пользователя

В конце января - начале февраля появились версии с текстовыми записками. См. внизу "Блок обновлений". 



Технические детали

Атакует серверы, имеющие поддержку RDP и уязвимости в защите или вообще не имеющие защиты. Устанавливается вручную после взлома систем при подключении к удаленному рабочему столу по протоколу RDP. Возможен взлом RDP Windows с помощью Pass-the-Hash техники, утилит PuTTY, mRemoteNG, TightVNC, Chrome Remote Desktop, модифицированных версий TeamViewer, AnyDesk, Ammyy Admin, LiteManager, Radmin, PsExec и пр. 

Почему это возможно? 
Есть много различных способов взлома RDP-подключений, но чаще используется IP-сканер, с помощью которого хакеры выбирают стандартный порт 3389 для сканирования определенного диапазона IP-адресов. Хакерская программа находит и сохраняет список найденных IP-адресов, потом подключается к каждому найденному компьютеру и в автоматическом режиме методом перебора пытается ввести логин и пароль. При успешном входе в аккаунт администратора хакеры получают полный доступ к его ПК и компьютерам его сети.

Также может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся фейк-шифрованию:
.doc, .docx, .jpg, .jpeg, .pdf, .xls, .xlsx, .rtf, .txt
Это вероятно документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов и пр.

Пропускаются папки и файлы в этих папках:
Windows
$Recycle.Bin
Config.Msi
MSOCache
System Volume Information
Recovery

Пропускаются файлы:
svchost.exe
Readme.txt
Readme.hta
bootmgr
BOOTNXT
pagefile.sys
swapfile.sys
hiberfil.sys
loadmgr

Файлы, связанные с этим Ransomware:
How decrypt files.hta - записка
<random>.exe - файл шифровальщика
svchost.exe - файл шифровальщика
sv.exe - файл шифровальщика (другая версия)
Decrypt.exe - дешифровщик от вымогателей

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
unCrypte@outlook.com
decipher_ne@outlook.com
unCrypte@india.com и unCrypte@INDIA.COM
decipher_ne@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  
VT на дешифровщик >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptConsole-1 Ransomware - январь 2017
CryptConsole-2 Ransomware - февраль - март 2017 - по апрель 2018
CryptConsole-2-2018 - новые версии с апреля 2018 и далее
CryptConsole-3 - новые версии с 19-20 июня 2018 и далее



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 31 января:
К файлам спереди добавляется unCrypte@outlook.com_
Пример зашифрованного файла:
unCrypte@outlook.com_A41725E2EC13FB847C846B93A6A***
Записка на русском языке: !!!_ЧИТАТЬ_ПЕРЕД_ЗАПУСКОМ_!!!.txt
Email: unCrypte@outlook.com
Пост на форуме >>

Обновление от 4 февраля:
К файлам спереди добавляется decipher_ne@india.com_
Примеры зашифрованных файлов:
models.xml -> decipher_ne@india.com_DC96D49B8F9F07DBC5321305D9C5403D
negativ.xml -> decipher_ne@india.com_CC228B27D9523040E45991C5C5EEFC09
Email: decipher_ne@india.com
Записка: Readme.txt
Содержание записки:
YOUR PERSONAL ID: 352E3232362E39392E3130363A333338394047525550415745434F4E5C***
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail decipher_ne@india.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send to us up to 3 files for free decryption. Please note that files must NOT contain valuable information and their total size must be less than 10Mb. 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 
Обновление от 8-9 февраля 2017:
К файлам спереди спереди добавляется unCrypte@india.com_
Файл: smsss.exe
Email: unCrypte@india.com
Записка: Readme.txt
Результаты анализов: VT

Обновление от 20 февраля 2017:
Версия: CryptConsole 2.0
К зашифрованным файлам спереди добавляется something_ne@india.com_
Файл: smsss.exe
Email: something_ne@india.com
Записка: HOW DECRIPT FILES.hta
Подробнее см. в статье CryptConsole 2.0 >>




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть дешифровщик!
Скачать дешифровщик и расшифровать файлы >> 
В первую очередь прочтите инструкцию и рекомендации.
Самое главное — не сделать себе хуже, чем уже есть.
Если не получается, обращайтесь к Майклу Джиллеспи >> 
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CryptConsole)
 Topic on BC
Added later:
Write-up (add. January 3, 2017)
 Thanks: 
 xXToffeeXx, Michael Gillespie
 Andrew Ivanov (artcile author), Thyrex
 *

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 26 января 2017 г.

Potato

Potato Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .potato

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
How to recover my files.txtHow to recover my files.html
README.pngREADME.html
Содержание записки о выкупе:
YOUR FILES WERE ENCRYPTED
using military-grade encryption (AES-256). The encrypted files have the additional extension .potato. You won't be able to retrieve your data unless you make a payment by following the steps below:
1. Download the TOR browser
2. Access the following adress through TOR Browser for further instructions
http://tzakpakp6v5vwqqh.onion/
3. Enter your ID (see below) and hit "GET KEY" for further instructions
NOTICE: There's a folder on your desktop named POTATO which contains the following files:
• ID_number.txt - an unique number that identifies your computer, which is mandatory for the payment process
• encrypted.txt - a list of files that were encrypted; if you decide to have them back, DO NOT DELETE IT
• decryptor.exe (including MSVCR100.dll) - the program you'll use for decryption once the payment is made and the decryption key is transmitted to you.

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
с помощью шифрования военного класса (AES-256). Зашифрованные файлы имеют дополнительное расширение .potato. Вы не сможете восстановить ваши данные, если вы не сделаете оплату, следуя инструкциям ниже:
1. Загрузите TOR-браузер
2. Откройте следующий адрес через Tor-браузер для получения дальнейших инструкций
http://tzakpakp6v5vwqqh.onion/
3. Введите ваш ID (см. ниже) и нажмите кнопку "GET KEY" для получения инструкций
ВНИМАНИЕ: На рабочем столе есть папка с именем POTATO, содержащая следующие файлы:
• ID_number.txt - уникальный номер, который идентифицирует ваш ПК, является обязательным для процесса оплаты
• encrypted.txt - список файлов, которые были зашифрованы; если вы решили их вернуть, НЕ УДАЛЯЙТЕ ЕГО
• decryptor.exe (включая MSVCR100.dll) - программа, которую вы будете использовать для дешифровки после оплаты и получения ключ дешифрования.


Сайт вымогателей

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Есть сведения об использовании при этом ПО DarkComet RAT для удаленного проникновения на ПК жертв и тайного администрирования. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
potato.exe
<random>.exe
How to recover my files.txt
How to recover my files.html
ID_number.txt
decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
potatoransom@sigaint.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  
VT анализ декриптора >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Potato)
 Topic on BC
 *
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 24 января 2017 г.

RanRan, ZXZ

ZXZ Ransomware

RanRan Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью RC4, а затем требует выполнить необычные действия, чтобы вернуть файлы. Название дано по расширению и записке. Второе дали исследователи из Palo Alto. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .zXz

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известно о пострадавших из Саудовской Аравии. 

Записки с требованием выкупа называются: zXz.html

Содержание записки о выкупе:
!!! Congratulations!!!
Welcome to my Ransomware!
Cannot you find the files youneed?
is the content of the files that you have watched not readable?
I want to play a game with you.Let me explain the rules:
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret internet server and nobody can decrypt your files until you pay and obtain the private key.
But, don't worry !
it is normal because the files names, as well as the data in your files have been encrypted.
Do not: power off computer, run antivirus program, disable internet connection. Failures during key recovery and file decryption may lead to accidental damage on files.
In order to have relationship with us, and pay the ransom;must go the following steps.
1. Launch a subdomain named
***REDACTED***
2. Make a txt file named:
Ransomware.txt including:
Hacked!
"Your email address"
We will text you ASAP.

Перевод записки на русский язык:
!!! Поздравления!!!
Добро пожаловать в мой Ransomware!
Вы не можете найти файлы, которые используете?
Содержимое файлов, которые вы смотрели не читается?
Я хочу сыграть в игру с вами. Позвольте мне объяснить правила:
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с использованием самого мощного шифрования и уникального ключа, созданного для этого компьютера.
Частный ключ дешифрования хранится на секретном интернет-сервере, и никто не может расшифровать ваши файлы до тех пор, пока вы не заплатите и не получите секретный ключ.
Но, не волнуйтесь!
Это нормально, потому что имена файлов, а также данные в ваших файлах были зашифрованы.
Не делайте этого: выключить компьютер, запустить антивирусную программу, отключить интернет-соединение. Неудачи при восстановлении ключей и расшифровка файлов могут привести к случайному повреждению файлов.
Чтобы иметь с нами отношения и заплатить выкуп, мы должны выполнить следующие шаги.
1. Создайте поддомен с именем
*** УДАЛЕНО ***
2. Создайте txt-файл с именем:
Ransomware.txt включая:
Hacked!
"Ваш email-адрес"
Мы отправим вам текст как можно быстро.

В отличие от многих других известных и популярных вымогателей, RanRan не просит прямого платежа. Вместо этого потерпевший должен создать поддомен на своем сайте, где разместить файл Ransomware.txt. Размещенный файл должен включать в себя слово "Hacked" и email-адрес. В нём нужно написать политическое заявление против лидера одной из стран Среднего Востока. Мишенью в этих атаках является Салман ибн Абдул-Азиз Аль Сауд, король Саудовской Аравии. 

После шифрования тексты открываются, но имеют нечитаемый вид в неизвестной кодировке. Примечательно, что оригиналы некоторых файлов не удаляются. Подробнее в статье от Palo Alto

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Возможен целенаправленный взлом с использованием программ для удаленного доступа. 

Отслеживает появление в процессах диспетчера задач Windows и завершает его работу. Также завершает работу следующих процессов и служб:
MSSQLSERVER
SQLWriter
MSSQL$CONTOSO1
SQLServerAgent
MSSQL$SQLEXPRESS
Microsoft Exchange Information Store
OracleASMService+ASM
OracleCSService
OracleServiceORCL
OracleOraDb10g_home1TNSListener
usermanager
outlook
exchange
sql

Ranran использует многоуровневую схему шифрования. В результате чего на компьютере жертвы могут появиться следующие восемь файлов: 
VictemKey_0_5
VictemKey_5_30
VictemKey_30_100
VictemKey_100_300
VictemKey_300_700
VictemKey_700_2000
VictemKey_2000_3000
VictemKey_3000

Список файловых расширений, подвергающихся шифрованию:
.3gp, .7z, .accdb, .ace, .ai, .ashx, .asmx, .asp, .aspx, .bad, .bak, .bat, .bdp, .bdr, .bkf, .bmp, .c, .cfg, .cmd, .cmsc, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docx, .dwg, .dxf, .edb, .edx, .efp, .eml, .epf, .ese, .exe, .flv, .fmb, .gz, .img, .ipdb, .iso, .issue, .jar, .java, .jpg, .kdbx, .kmz, .ldf, .lic, .log, .max, .mdb, .mdf, .me, .mkv, .mpp, .mtb, .olb, .ost, .pdf, .png, .pps, .ppsx, .ppt, .pptx, .psc, .psd, .pst, .rar, .rdp, .resx, .rmvb, .rtf, .sdb, .sln, .soap, .sql, .stm, .svc, .swf, .tar, .txt, .vdw, .vdx, .vmdk, .vsd, .war, .webm, .xls, .xlsm, .xlsx, .xlt, .zip (95 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр., находящиеся на сервере и всех компьютерах локальной сети. 

Файлы, связанные с этим Ransomware:
services.exe
zXz.html
pass
VictemKey_0_5
VictemKey_5_30
VictemKey_30_100
VictemKey_100_300
VictemKey_300_700
VictemKey_700_2000
VictemKey_2000_3000

VictemKey_3000

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Load = {root drive}:\services.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Ссылка на декриптер от Palo Alto >>
 Read to links: 
 Topic on BC
 ID Ransomware (ID as zXz)
 Write-up (add. March 8, 2017)
Write-up by TrendMicro (add. January 23, 2017)
Write-up by PaloAlto (add. March 8, 2017)
 Thanks: 
 Michael Gillespie
 Robert Falcone, Josh Grunzweig (Palo Alto)
 Marvelous Pelin (Trend Micro)
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Funfact

Funfact Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA с использованием ПО для шифрования с открытым исходным кодом на GNU Privacy Guard (GnuPG), а затем требует написать на email вымогателей, чтобы узнать сумму выкупа в биткоинах, чтобы получить программу и ключ для дешифрования, и вернуть файлы. Название от повторяющейся части логина почты вымогателей. Фальш-имя: Mcrosoft 0fflce.

Обнаружения:
DrWeb -> Trojan.DownLoader23.54844
BitDefender -> Gen:Variant.Razy.123300
ALYac -> Trojan.Ransom.Funfact
Avira (no cloud) -> TR/VB.Downloader.Gen
ESET-NOD32 -> Win32/Filecoder.NJL
Kaspersky -> Trojan-Ransom.Win32.Gen.cit
Symantec -> Trojan.Gen, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Gen.Ozsd
TrendMicro -> Ransom_CRYPFUN.A

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .cry

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: note.ini


Содержание записки о выкупе:
Important Information!!!!
You had bad luck. All your files are encrypted with RSA and AES ciphers. to get your files back read carefully. if you do not understand, Read again. All your documents are recoverable only with our software and key file.
To decrypt files you need to contact worldfunfact@sigaint.org or funfacts11@tutanota.com and set your ID as email title and send clsign.dll file from your computer. That is the key file and yes, it’s encrypted. Search your computer for filename “clsign.dll” attach it to email.  if you wish we will decrypt one of your encrypted file for free! It’s your guarantee. After you made payment you will receive decryption software with key and necessary instructions. if you don’t contact us within 72 hours we will turn on sanctions. you’ll have to pay more. Recovery is only possible during 7 days. after that don’t contact us.
Remember you are just single payment away from all your files
If your files are urgent pay exactly requested amount to Bitcoin(BTC) address and send clsign.dll file to us. We will send your decryption software within 24 hours; remember if you contact us first maybe you’ll have to pay less.
User ID: 658061***
BTC Address: 1AQrj***
Amount(BTC): 1.65806
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2
*******************************
-----END PGP PUBLIC KEY BLOCK-----

Перевод записки на русский язык:
Важная информация !!!! Вам не везло. Все ваши файлы зашифрованы с помощью RSA и AES шифров. Чтобы получить файлы обратно, внимательно прочитайте. Если вы не понимаете, читайте снова. Все ваши документы могут быть восстановлены только с нашей программой и файлом-ключом. 
Для расшифровки файлов вам нужно связаться с worldfunfact@sigaint.org или funfacts11@tutanota.com и написать свой ID в заголовка email-письма и отправить файл clsign.dll с вашего компьютера. Это ключевой файл и да, он зашифрован. Найдите на компьютере файл "clsign.dll" и прикрепите его к email-письму. Если хотите, мы расшифруем один из ваших зашифрованных файлов бесплатно! Это ваша гарантия. После того, как вы сделали оплату, вы получите программу для дешифрования с ключом и необходимыми инструкциями. Если вы не обратитесь к нам в течение 72 часов мы включим санкции. Вам придется платить больше. Восстановление возможно только в течение 7 дней. После этого с нами уже не свяжитесь.
Помните, у вас только один платеж для всех ваших файлов.
Если ваши файлы нужны срочно, платите точную сумму на биткоин-адрес (BTC) и отправьте нам файл clsign.dll. Мы направим вашу программу дешифрования в течение 24 часов; помните, если вы обратитесь к нам в первую очередь, может быть, вы будете платить меньше.
User ID: 658061***
BTC Address: 1AQrj***
Amount(BTC): 1.65806
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2
*******************************
-----END PGP PUBLIC KEY BLOCK-----

Считывает информацию о поддерживаемых языках системы. Проверяет IP компьютера. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.7z, .ace, .arj,. bz2, .cab, .gz, .jpeg, .jpg, .lha, .lzh, .mp3, .rar, .taz, .tgz, .z, .zip (16 расширений). 
Это архивы, фотографии, музыка и пр.

Файлы, связанные с этим Ransomware:
word.D.exe (фальш-имя: Mcrosoft 0fflce)
note.ini
clsign.dll
trc.dll
tst.tst
rar.exe
wallet.jpg (QR code)
%TEMP%\<random>.tmp - например: Cab393F.tmp, Tar3940.tmp
%LOCALAPPDATA%\ow\Microsoft\CryptnetUrlCache\MetaData\<random> - например: 
CC42971B7939A9CA55C44CFC893D7C1D
5457A8CE4B2A7499F8299A013B6E1C7C_CE50F893881D43DC0C815E4D80FAF2B4
5080DC7A65DB6A5960ECD874088F3328_6CBA2C06D5985DD95AE59AF8FC7C6220

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
whatismyip.net (23.239.26.248:80)
***ocsp.usertrust.com
***ocsp.comodoca.com
***crl.comodoca.com
funfacts11@tutanota.com
worldfunfact@sigaint.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as FunFact)
 Video review
 Thanks: 
 Karsten Hahn, Michael Gillespie, GrujaRS
 Andrew Ivanov (author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

VxLock

vxLock Ransomware

vxCrypter Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное, другое: vxCrypt. Разработчик: Arkade. Разработан в Visual Studio 2010. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .vxLock

Образец этого крипто-вымогателя был обнаружен в январе 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока в разработке. 

Записки с требованием выкупа называются: ***

Содержание записки о выкупе:
***

Перевод записки на русский язык:
***



Технические детали


Находится в разработке. Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Проверяется наличие в системе отладчиков, песочницы и пр. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
vxLock.exe
dw20.exe
<random>.exe
<random>.ini

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Intezer Analyze анализ >>
Any.RUN анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


VxLock - январь 2017
vxCrypter - март 2019


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 29 марта 2019:
Пост в Твиттере >>
Пост в Твиттере >
Статья об этом варианте >>
Самоназвание: vxCrypter
Расширение: .xLck
Email: vxbtcpro@protonmail.com
BTC: 1F1tAaz5x1HUXrCNLbtMDqcw6o5***
Особенности: 
- удаляет некоторые файлы, вместо их шифрования;
- наблюдаются сбои и глюки в работе;
- до сих пор находится в разработке. 
Целевые файловые расширения:
.7z, .asp, .aspx, .avi, .bak, .bat, .bmp, .c, .cpp, .csv, .db, .doc, .docx, .fla, .flv, .gif, .h, .hpp, .htm, .html, .java, .jpeg, .jpg, .jsp, .key, .mdb, .mpeg, .odt, .pem, .php, .pl, .png, .ppt, .pptx, .psd, .py, .rar, .rb, .reg, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .tar, .tgz, .tgz, .tif, .tiff, .txt, .wmv, .xls, .xlsx, .xml, .xsd, .zip (56 расширений). 
Отслеживает хэши SHA256 каждого зашифрованного файла, а затем удаляет файлы, которые он считает дубликатами, с тем же хэшем SHA256. 

Для других файлов (.exe, .dll), дубликаты файлов не удаляются.
Результаты анализов: VT





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VxLock)
 Write-up
 Thanks: 
 Jiri Kropac
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *