Если вы не видите здесь изображений, то используйте VPN.

среда, 22 февраля 2017 г.

Vanguard

Vanguard Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью ChaCha20 и Poly1305, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название. Фальш-имя: MSOFFICE. Фальш-копирайт: Microsoft Corporation. Написан на языке Go (анг. Go language, Golang). Разработчик: Viktor. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.
Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение *нет данных*

Образцы этого крипто-вымогателя нашлись в феврале 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, видимо, в разработке. 

Записки с требованием выкупа называются: DECRYPT_INSTRUCTIONS.txt

Содержание записки о выкупе:
NOT YOUR LANGUAGE? https://translate.google.com
Your personal files and documents have been encrypted with AES-256 and RSA-2048!
Decrypting your files is only possible with decrypt key stored on our server. 
Price for key is %bitcoin% BTC (Bitcoin).
1. Send %bitcoin% BTC to %bitcoinaddress%
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
https://www.bitcoin.com/buy-bitcoin
2. Wait some time for transaction to process
3. PRIVATE KEY WILL BE DOWNLOADED AND SYSTEM WILL AUTOMATICALLY DECRYPT YOUR FILES!
If you do not pay within %hoursvalid% hours key will become DESTROYED and your files LOST forever!
Removing this software will make recovering files IMPOSSIBLE! Disable your antivirus for safety.

Перевод записки на русский язык:
НЕ ТВОЙ ЯЗЫК? https://translate.google.com
Твои личные файлы и документы были зашифрованы с AES-256 и RSA-2048!
Дешифровать файлы можно лишь с ключом дешифровки, хранящегося на нашем сервере.
Цена за ключ %Bitcoin% BTC (Bitcoin).
1. Отправь %Bitcoin% BTC на %bitcoinaddress%
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
https://www.bitcoin.com/buy-bitcoin
2. Подожди немного, пока транзакции обрабатываются 
3. Закрытый ключ загрузится и система автоматически дешифрует твои файлы!
Если ты не платишь за %hoursvalid% часа ключ УНИЧТОЖИТСЯ и твои файлы ПОТЕРЯНЫ навсегда!
Удаление этого софта сделает восстановление файлов НЕВОЗМОЖНЫМ! Отключите антивирус для безопасности.

Другое текстовое сообщение:
Please read DECRYPT_INSTRUCTIONS.txt for more information.

Перевод на русский:
Прочти DECRYPT_INSTRUCTIONS.txt для дополнительной информации.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Перед запуском шифрования проверяет наличие отладчиков и работу в виртуальной среде. Нерестит много процессов. Изменяет настройки прокси. 

После шифрования удаляет теневые копии файлов командой:
vssadmin.exe vssadmin delete shadows /all /quiet 

Список файловых расширений, подвергающихся шифрованию:
.123, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .602, .7z, .7zip, .aac, .ab4, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arc, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .bmp, .bpw, .brd, .bz2, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .cls, .cmd, .cmt, .com, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csr, .css, .csv, .dac, .dat, .db, .db3, .dbf, .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .encrypted, .eps, .erbsql, .erf, .exe, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .hbk, .hdd, .hpp, .htm, .html, .hwp, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .inf, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m2ts, .m3u, .m4a, .m4p, .m4u, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .ms11, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onenotec2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .paq, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qb, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qed, .r3d, .raf, .rar, .rat, .raw, .rb, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sh, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .torrent, .txt, .uop, .uot, .vb, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (416 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
vanguard.exe
msword.exe
del.bat
Cab1.tmp
Cab3.tmp
Tar2.tmp
Tar4.tmp

Расположения: 
%Temp%\msword.exe
%Temp%\del.bat
%Temp%\Cab1.tmp
%Temp%\Tar2.tmp
%Temp%\Cab3.tmp
%Temp%\Tar4.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***myexternalip.com (78.47.139.102)
***azxtr3foqyvpz3ob.onion.casa (167.160.185.136)
***secure2.alphassl.com (104.16.29.16)
***www.download.windowsupdate.com (92.122.122.144)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> HA-2 HA-3 HA-4
VirusTotal анализ >>  VT-2 VT-3 VT-4

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Article "ChaCha20 и Poly1305"
 *
 Thanks: 
 Jiri Kropac
 MalwareHunterTeam
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Нашли ошибку?

Нашли ошибку? Сообщите!

Программа помощи


При публикации материалов, а их здесь немало, уже больше 4-х сотен, возможны разные ошибки. 

Я сам регулярно их нахожу и исправляю. Но могу и не заметить из-за постоянной загруженности. 

Сообщите мне, если вы нашли ошибку, опечатку, непропечатку, неточность в тексте любой из статей.

Это просто. Ниже текста каждой статьи есть форма обратной связи. Сообщение придёт на мой email. 

Самым активным помощникам по итогам недели/месяца/квартала — перечисление на мобильный. 

Вместо телефона это может быть Qiwi- или Webmoney-кошелёк, карта или обсудим другой вариант. 

Условие — минимум 10 ошибок за указанный период. Наплыва помощников я не ожидаю, но опубликую здесь их список в виде рейтинга (ник, имя, аккаунт в Google, любую комбинацию), кроме неназвавшихся. Определение полезности оказанной помощи пока оставляю за собой. 

Мелкие ошибки, опечатки - по 1-2 балла за каждую. 
Исправление критической ошибки в статье — 10 баллов. 
Важная корректировка или важное дополнение - 20 баллов. 

По итогам работы за три месяца наиболее активные будут премированы годовой подпиской на антивирусную защиту:
  - Kaspersky Intenet Security
  - Norton Internet Security или Norton Security

Вы также можете помогать вне рейтинга. Просто так. Вклад для общего блага. Выбор за Вами. 

Первый тестовый период — 1 месяц со дня публикации. А там посмотрим, продолжать или нет. 


 Рейтинг самых активных помощников: 
 1. Mihay Ice - 300
 2. Тау Кита - 220
 3. Ohoho - 180
 4. Artur - 160
 5. Unknown - 80
6. 0x4574N4 - 60
7. Вячеслав Ильин - 20

© Amigo-A (Andrew Ivanov): All blog articles.

FindZip

FindZip Ransomware

(шифровальщик-вымогатель, zip-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей Mac OS, а затем требует выкуп в 0.25 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано. Написано на языке программирования Swift для MacOS. Другое название: Filecoder. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: FindZip.

К зашифрованным файлам добавляется расширение .crypt
Исследованный образец этого крипто-вымогателя относится на вторую половину февраля 2017 г. Известен с января 2017. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


 

Записки с требованием выкупа разбрасываются по Рабочему столу и называется на всевозможный лад: 
DECRYPT!!.txt, DECRYPT!.txt, DECRYPT.txt, DECRYPT_!.txt, DECRYPT_.txt, DECRYPT__.txt
HOW_TO_DECRYPT!!.txt, HOW_TO_DECRYPT!.txt, HOW_TO_DECRYPT.txt, HOW_TO_DECRYPT_!.txt, HOW_TO_DECRYPT_.txt, HOW_TO_DECRYPT__.txt
README!!.txt, README!.txt, README-!.txt, README.txt, README_!.txt, README_.txt, README__.txt

Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption method.
What do I do ?
So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way
If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT
FOLLOW THESE STEPS:
1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
2) send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
3) send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com
4) leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes)
KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK
SINCE YOUR FILE GET CRYPTED,THEN THERE WON'T BE ANY METHOD TO RECOVER YOUR FILES, DON'T WASTE YOUR TIME!

Перевод записки на русский язык:
НЕ ВАШ ЯЗЫК? ИСПОЛЬЗУЙТЕ https://translate.google.com
Что случилось с вашими файлами?
Все ваши файлы были защищены сильным методом шифрования.
Что я делаю ?
Итак, вы можете выбрать два варианта: дождаться чуда или начать получать BITCOIN NOW! , и восстановить ВАШИ ДАННЫЕ простым способом
Если у вас действительно ценные DATA, вам лучше НЕ ОТПРАВИТЬ ВАШЕ ВРЕМЯ, потому что нет другого способа получить ваши файлы, кроме как сделать ОПЛАТУ
СЛЕДУЙ ЭТИМ ШАГАМ:
1) узнать, как купить биткоины https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
2) отправить 0.25 BTC в 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
3) отправьте свой адрес btc и ваш ip (вы можете получить свой IP-адрес здесь https://www.whatismyip.com) по почте rihofoj@mailinator.com
4) оставите свой компьютер и подключитесь к Интернету в течение следующих 24 часов после оплаты, ваши файлы будут разблокированы. (Если вы не можете ждать 24 часа, сделайте платеж в 0,45 BTC, ваши файлы будут разблокированы не более 10 минут)
ИМЕЙТЕ В ВИДУ, ЧТО ВАШ КЛЮЧ ДЕШИФРОВАНИЯ НЕ БУДЕТ ХРАНИТЬСЯ НА МОЕМ СЕРВЕРЕ БОЛЕЕ 1 НЕДЕЛИ
ПОСКОЛЬКУ ВАШ ФАЙЛ БУДЕТ ЗАШИФРОВАН, ТОГДА НЕ БУДЕТ НИКАКОГО СПОСОБА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ, НЕ ТРАТЬТЕ СВОЕ ВРЕМЯ!



Технические детали

Распространяется с помощью пиратских сайтов для взломанных программ, обманных загрузок, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Выдаёт себя за Adobe Premiere Pro CC 2017 Patcher или Microsoft Office 2016 Patcher для Mac OS, а также использует подписанные сертификаты.



➤ По словам специалистов программа написана с ошибками. И даже у  разработчиков-вымогателей нет возможности дешифровать зашифрованные файлы. Уплата выкупа бесполезна! 

➤ После того, как все файлы зашифрованы, пытается очистить все свободное пространство в корневом разделе с помощью diskutil, но путь к инструменту неверен. Он пытается выполнить /usr/bin/diskutil, однако путь к diskutil в MacOS - это /usr/sbin/diskutil 

➤ Шифровальщик преобразует зашифрованные файлы в ZIP-архивы, действуя по той же схеме, которую использует программа-вымогатель Bart Ransomware для Windows. 

➤ Zip-архивы защищены случайным паролем, который создается с помощью генератора случайных чисел arc4random_uniform. Ключ слишком длинный для грубой силы в разумные сроки.

Список файловых расширений, подвергающихся шифрованию:
Все файлы найденные с помощью инструмента командной строки в каталогах "Documents" и "Photos". 

Файлы, связанные с этим Ransomware:
DECRYPT!!.txt
DECRYPT!.txt
DECRYPT.txt
DECRYPT_!.txt
DECRYPT_.txt
DECRYPT__.txt
HOW_TO_DECRYPT!!.txt
HOW_TO_DECRYPT!.txt
HOW_TO_DECRYPT.txt
HOW_TO_DECRYPT_!.txt
HOW_TO_DECRYPT_.txt
HOW_TO_DECRYPT__.txt
README!!.txt
README!.txt
README-!.txt
README.txt
README_!.txt
README_.txt
README__.txt
Adobe Premiere Pro CC 2017 Patcher.zip
Office 2016 Patcher.zip

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rihofoj@mailinator.com
BTC: 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb - нулевой баланс
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


🔓 Ниже есть ссылка на средство дешифрования от компании Avast.
➤ При запуске средства дешифрования пользователям может быть предложено установить Mono или Gecko, а Avast отмечает, что они должны нажать «Отмена», если запрашивается Mono. После запуска приложения пользователи должны выбрать местоположение для расшифрованных файлов, а также пару исходных / зашифрованных файлов. На данный момент им нужно только подождать, пока инструмент найдет пароль для дешифрования, а затем запустит процесс восстановления. 

 Пользователям также рекомендуется сначала сделать копии зашифрованных файлов. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать FindZip Fix от Avast для дешифровки >>
Инструмент дешифрования был протестирован 
на MacOS 10.10 (Yosemite) и MacOS 10.12 (Sierra).
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as FindZip)
 Write-up, Write-up, Write-Up, Topic of Support
 Mass media, Mass media
 Thanks: 
 Michael Gillespie
 Sorry, unnamed authors
 ESET, Avast
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PyL33T

PyL33T Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название неизвестно. Шифровальщик разработан для 64-разрядных систем, т.е. в 32-разрядных он, видимо, не сработает. Фальш-копирайт: Copyright Microsoft. Написан на языке Python. 

© Генеалогия: другие Python Ransomware >> PyL33T Ransomware

К зашифрованным файлам добавляется расширение .d4nk

Образец этого крипто-вымогателя был найден в феврале 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока в разработке. 

Записки с требованием выкупа называются: ***

Содержание записки о выкупе:
ATTENTION
You Have Been Infected With Ransomware.
Please Make Note of Your Unique Idenfier: ***

Перевод записки на русский язык:
ВНИМАНИЕ
Вы заразились вымогателем.
Обратите внимание на Ваш уникальный идентификатор: ***


Технические детали

После релиза может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.7z, .css, .dba, .doc, .docm, .docx, .html, .JPEG, .jpg, .kbdx, .mov, .mp3, .mp4, .odb, .odc, .oma, .pdf, .php, .ppt, .pptx, .pub, .raw, .sql, .txt, .wallet, .xlxs (26 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии и пр.

Файлы, связанные с этим Ransomware:
Ransomware.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
178.62.166.7:1337 - C2-сервер
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё>> Ещё>>
Malwr анализ >>

Обновление от 6 марта 2017:
Пост в Твиттере >>
Файл: Runtime Broker.exe
Результаты анализов: VT


Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PyL33T)
 Write-up
 *
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

TrumpLocker

TrumpLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 в режиме CBC (обошлось без RSA-2048, указанного в записке), а затем требует выкуп от $50 до $165 в биткоинах, чтобы вернуть файлы. На уплату выкупа даётся 72 часа. Написан на .NET Framework. Название оригинальное. Другое самоназвание: RansomNote. Фальш-копирайт: Microsoft 2017. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия:  VenusLocker > TrumpLocker 

К зашифрованным файлам добавляется расширение .TheTrumpLockerf или .TheTrumpLockerp. 

Если TrumpLocker шифрует весь файл, то добавляет расширение .TheTrumpLockerf
Если шифрует только первые 1024 байт, то добавляет расширение .TheTrumpLockerp
Содержимое кода касательно расширений

Активность этого крипто-вымогателя пришлась на февраль 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: What happen to my files.txt 
Содержание записки о выкупе:
--- The Trump Locker ---
Unfortunately, you are hacked.
1. What happened to my files?
Your personal files, including your photos, documents, videos and other important files on this computer, have been encrypted with RSA-4096, the strongest encryption algorithm. RSA algorithm generates a public key and a private key for your computer. The public key was used to encrypt your files a moment ago. The private key is necessary for you to decrypt and recover your files. Now, your private key is stored on our secret Internet server. And there is no doubt that no one can recover your files without your private key.
For further information about RSA algorithm, please refer to https://en.wikipedia.org/wiki/RSA_(cryptosystem)
2. How to decrypt my files?
To decrypt and recover your files, you have to pay 50 US Dollars for the private key and decryption service. Please note that you have ONLY 72 HOURS to complete your payment. If your payment do not be completed within time limit, your private key will be deleted automatically by our server. All your files will be permanently encrypted and nobody can recover them. Therefore, it is advised that you'd better not waste your time, because there is no other way to recover your files except making a payment.
3. How to pay for my private key?
There are three steps to make a payment and recover your files:
1). For the security of transactions, all the payments must be completed via Bitcoin network. Thus, you need to exchange 50 US dollars (or equivalent local currencies) to Bitcoins, and then send these Bitcoins (about 0.043 BTC) to the following address. 1N82pq3XovKoJ***
2). Send your personal ID to our official email: TheTrumpLocker@mail2tor.com
Your personal ID is: ***
3). You will receive a decryptor and your private key to recover all your files within one working day.
4. What is Bitcoin?
Bitcoin is an innovative payment network and a new kind of money. It is based on an open-source cryptographic protocol that is independent of any central authority. Bitcoins can be transferred through a computer or a smartphone withour an intermediate financial institution.
5. How to make a payment with Bitcoin?
You can make a payment with Bitcoin based on Bitcoin Wallet or Based on Perfect Money. You can choose the way that is more convenient for you.
About Based on Bitcoin Wallet
1) Create a Bitcoin Wallet. We recommend Blockchain.info (https://blockchain.info/)
2) Buy necessary amount of Bitcoins. Our recommendations are as follows.
LocalBitcoins.com -- the fastest and easiest way to buy and sell Bitcoins.
CoinCafe.com -- the simplest and fastest way to buy, sell and use Bitcoins.
BTCDirect.eu -- the best for Europe.
CEX.IO -- Visa / MasterCard
CoinMama.com -- Visa / MasterCard
HowToBuyBitcoins.info -- discover quickly how to buy and sell Bitcoins in your local currency.
3) As mentioned above, send about 0.043 BTC (equivalent to 50 USD) to our Bitcoin receiving address.
4) As mentioned above, and then, send us your personal ID via email, you will receive your private key soon.
About Based on Perfect Money
1) Create a Perfect Money account. (https://perfectmoney.is)
2) Visit to PMBitcoin.com. (https://pmbitcoin.com/btc)
input our Bitcoin receiving address in the \"Bitcoin Wallet\" textbox.
input 50 in the \"Amount\" textbox, the amount of Bitcoin will be calculated automatically.
click \"PAY\" button, then you can complete you payment with your Perfect Money account and local debit card.
6. If you have any problem, please feel free to contact us via official email.
Best Regards
The Trump Locker Team

Перевод записки на русский язык:
--- Trump Locker ---
К сожалению, вы взломан.
1. Что случилось с моими файлами?
Ваши личные файлы, включая ваши фотографии, документы, видео и другие важные файлы на этом компьютере, были зашифрованы с помощью RSA-4096, самыv сильныv алгоритмjv шифрования. Алгоритм RSA генерирует открытый ключ и закрытый ключ для вашего компьютера. Открытый ключ используется для шифрования файлов. Секретный ключ необходим вам, чтобы расшифровать и восстановить файлы. Теперь ваш закрытый ключ хранится на нашем секретном Интернет-сервере. И нет никаких сомнений в том, что никто не может восстановить ваши файлы без вашего секретного ключа.
Для получения дополнительной информации об алгоритме RSA, пожалуйста, обратитесь к https://en.wikipedia.org/wiki/RSA_(cryptosystem)
2. Как расшифровать мои файлы?
Для того, чтобы расшифровать и восстановить файлы, вы должны заплатить 50 долларов США за закрытый ключ и услугу дешифрования. Обратите внимание, что у вас есть только 72 часов, чтобы сделать вашу оплату. Если ваш платеж не будет завершен в срок, ваш закрытый ключ будет автоматически удален нашим сервером. Все ваши файлы останутся зашифрованными и никто не сможет их восстановить. Поэтому, рекомендуется, что вы не тратили свое время, т.к. нет иного пути, чтобы восстановить ваши файлы, кроме оплаты выкупа.
3. Как оплатить мой личный ключ?
Есть три шага, чтобы сделать оплату и восстановить файлы:
1). Для обеспечения безопасности сделок, все платежи должны быть завершены через сеть Bitcoin. Таким образом, вам нужно обменять 50 долларов США (или эквивалент в национальной валюте) в биткоины, а затем отправить эти биткоины (около 0,043 BTC) по следующему адресу. 1N82pq3XovKoJ***
2). Отправить свой ID на наш официальный email-адрес: TheTrumpLocker@mail2tor.com
Ваш личный идентификационный номер: ***
3). Вы получите дешифратор и закрытый ключ для восстановления всех файлов в течение одного рабочего дня.
4. Что такое Bitcoin?
Bitcoin является инновационной сетью оплаты и новым видом денег. Он основан на криптографическом протоколе с открытым исходным кодом, который не зависит от центрального управления. Биткоины могут быть переданы через компьютер или смартфон без промежуточного финансового учреждения.
5. Как сделать платеж с помощью Bitcoin?
Вы можете произвести оплату с Bitcoin, основанный на Bitcoin-кошельке или на основе Perfect Money. Вы можете выбрать наиболее удобный для Вас способ.
О основе Bitcoin-кошелька
1) Создать кошелек Bitcoin. Мы рекомендуем Blockchain.info (https://blockchain.info/)
2) Купить необходимое количество биткоинов. Наши рекомендации заключаются в следующем.
LocalBitcoins.com - самый быстрый и простой способ купить и продать биткоины.
CoinCafe.com - самый простой и быстрый способ купить, продать и использовать биткоины.
BTCDirect.eu - лучший для Европы.
CEX.IO - Visa / MasterCard
CoinMama.com - Visa / MasterCard
HowToBuyBitcoins.info - быстро найти, как купить и продать биткоины в местной валюте.
3) Как уже сказано выше, отправьте около 0,043 BTC (эквивалент 50 долларов США) на наш приемный Bitcoin-адрес.
4) Как уже сказано выше, затем отправьте нам свой ID по email и вы получите ваш личный ключ в ближайшее время.
О основе Perfect Money
1) Создать аккаунт Perfect Money. (https://perfectmoney.is)
2) Посещение PMBitcoin.com. (https://pmbitcoin.com/btc)
***сокращено***
6. Если у вас есть какие-либо проблемы, пожалуйста, не стесняйтесь связаться с нами по официальной электронной почте.
С наилучшими пожеланиями
Команда Trump Locker

После попытки закрыть диалог о выкупе, появляется окно с текстом:
You'd better not close this window. If you close it, you will not able to see it again. Are you sure?

Перевод на русский:
Лучше не закрывать это окно. Если вы его закроете, то не увидите его снова. Вы уверены?

К ней добавляется скринлок, т.е. изображение g4Ly4AD.jpg в стиле Anonymous, встающее обоями рабочего стола, после того, как загрузится с URL-адреса ***i.imgur.com
Содержание текста со скринлока:
You are hacked
Your personal files are encrypted
To decrypt and recover all your files, you need to pay 50 US dollars for decryption service.
1. Exchange 50 USD (or equivalent local currencies) to Bitcoins, and then send these Bitcoins to our Bitcoin receiving address: 1N82pq***
2. Send your Personal ID to our official email: TheTrumpLocker@mail2tor.com
3. You will receive your private key to recover your files within one working day.
For detailed information, please refer to the dialog or "What happen to myfiies.txt" on your desktop.

Перевод текста на русский язык:
Вы взломаны
Ваши личные файлы зашифрованы
Для дешифровки и возврата всех файлов вам нужно заплатить 50 долларов за услугу дешифровки.
1. Обменять 50 USD (или эквивалент в местной валюте) на биткоин, а затем отправить эти Bitcoins на наш Bitcoin-адрес: 1N82pq***
2. Отправьте свой ID на наш официальный email: TheTrumpLocker@mail2tor.com
3. Вы получите ваш приватный ключ для восстановления файлов за один рабочий день.
Для подробной информации, обратитесь к диалогу или "What happen to myfiies.txt" на рабочем столе.

Более подробная, чем на скринлоке, информация о выкупе имеется в экране блокировки. 

Ко всему прочему имеется ещё персонифицированное послание, состоящее из фото с новым президентом США Дональдом Трампом и надписью на фото "YOU ARE HACKED!!". 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Несмотря на упоминание алгоритма RSA-4096 в тексте записки о выкупе, на самом деле он не используется. Ключ для шифрования приходит с сервера, генерируется с использованием связки "имя компа" + "имя учётки". 

После получения открытого ключа шифрования вымогатель Trump Locker начинает процесс шифрования файла, отличающийся от обычных правил. В коде шифровальщика, как обычно, содержится список файлов, предназначенных для шифрования, но полностью он шифрует только определённые типы файлов. У других же он шифрует только первые 1024 байт. Такое поведение также было замечено в предыдущих версиях VenusLocker.

При шифровании файлов исходное имя файла кодируется с помощью base64, а уже затем к зашифрованному файлу добавляется новое расширение. Эта операция усложняет идентификацию конфиденциальных файлов.

Теневые копии файлов после шифрования удаляются командой:
C:\\Windows\\system32\\wbem\\wmic.exe shadowcopy delete&exit

Список файловых расширений, подвергающихся полному шифрованию (добавляется расширение .TheTrumpLockerf):
.asp, .c, .cc, .class, .cpp, .cs, .css, .csv, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .h, .html, .ini, .jar, .java, .log, .msg, .php, .pl, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .py, .rtf, .sldm, .sldx, .txt, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb,  .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml (56 расширений). 

Список файловых расширений, подвергающихся неполному шифрованию 
(добавляется расширение .TheTrumpLockerp):
.1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .aaf, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aep, .aepx, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .as, .as3, .asa, .asc, .ascx, .ase,.asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .class, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .csv, .ctt, .cty, .cwf, .dal, .dap, .dat, .db, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .eat, .elf, .eps, .eql, .erf, .err, .euc, .evo, .ex, .exif, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .game, .gif, .grf, .grle, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idml, .idx, .img, .indb, .indd, .indl, .indt, .ini, .ink, .inx, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md3, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pl, .plb, .plc, .pli, .pm, .pmd, .png, .pot, .potm, .potx, .ppam, .ppd, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prel, .prproj, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rpt, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .sldm, .sldx, .slot, .slt, .snp, .so, .spr, .spv, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .sv5, .svg, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlv, .xlw, .xlwx, .xml, .xpi, .xpt, .xqx, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (511 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы, файлы прикладных программ и пр.

Шифровальщик пропускает директории: 
Program Files, Program Files (x86), Windows, Python27, Python34, AliWangWang, Avira, wamp, Avira, 360, ATI, Google, Intel, Internet Explorer, Kaspersky Lab, Microsoft Bing Pinyin, Microsoft Chart Controls, Microsoft Games, Microsoft Office, Microsoft.NET, MicrosoftBAF, MSBuild, QQMailPlugin, Realtek, Skype, Reference Assemblies, Tencent, USB Camera2, WinRAR, Windows Sidebar, Windows Portable Devices, Windows Photo Viewer, Windows NT, Windows Media Player, Windows Mail, NVIDIA Corporation, Adobe, IObit, AVAST Software, CCleaner, AVG, Mozilla Firefox, VirtualDJ, TeamViewer, ICQ, java, Yahoo!

Файлы, связанные с этим Ransomware:
TrumpLocker.exe - исполняемый файл вымогателя и экран блокировки;
RansomNote.exe - экран с фото Дональда Трампа
What happen to my files.txt - текстовая записка о выкупе;
bg.jpg - скринлок на обои рабочего стола;
uinf.uinf - файл с информацией, полученной от C2-сервера. 

Расположения:
C:\Users\User_name\Desktop\What happen to my files.txt 
C:\Users\User_name\g4Ly4AD.jpg
C:\Users\User_name\Desktop\RansomNote.exe
%Temp%\uinf.uinf

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TheTrumpLocker    %Desktop%\RansomNote.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://i.imgur.com/g4Ly4AD.jpg
3q27hfpradjovwyo.onion.cab
TrumpLocker@mail2tor.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
TrumpLocker больше не распространяется.
Подробные сведения собраны и указаны ниже.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as TrumpLocker)
 Write-up (add. February 22, 2017)
 Video review (add. February 22, 2017)

 Thanks: 
 BleepingComputer: Lawrence Abrams, Catalin Cimpanu
 MalwareHunterTeam
 Michael Gillespie
 Alex Svirid
 GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *