Если вы не видите здесь изображений, то используйте VPN.

пятница, 28 июля 2017 г.

Storm

Storm Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Stub.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Hello You Are Hacked Now !! All your personal files have been encrypted ! if you want restore your data you have to pay ! Remember you can't restore your data without our decryptor !!!!
Send mony to my bitcoin: ertyuioppoiuhygtfrdeRFTGYHDEZEFFZEF [Copy]
Contact Me: StormRansomware@gmail.com

Перевод записки на русский язык:
Привет, вы взломаны! Все ваши личные файлы  зашифрованы! Если хотите восстановить свои данные, то вам придется платить! Помните, что вы не сможете восстановить свои данные без нашего дешифратора !!!!
***
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.accdb, .aepx, .class, .docb, .docm, .docx, .dotm, .dotx, .idml, .indb, .indd, .indl, .indt, .java, .jpeg, .m3u8, .mpeg, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .pptx, .prel, .prproj, .sldm, .sldx, .xlam, .xlsb, .xlsm, .xlsx, .xltm, .xltx (34 расширения). 
Это документы MS Office, текстовые файлы, базы данных, фотографии, видео и пр.

Файлы, связанные с этим Ransomware:
Stub.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: StormRansomware@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Storm)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam  
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

четверг, 27 июля 2017 г.

Spongebob

SpongeBob Ransomware

(фейк-шифровальщик, тест-шифровальщик)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Spongebob. На файле написано: KKKryptoLocker.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия:выясняется.

Файлы не шифруются. К незашифрованным файлам никакое расширение не добавляется.
В коде замеченs следующие знаки, по совокупности похожие на мордашку SpongeBob: ...;._.;

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком: SPONGEBOB RANSOMWARE 2.0

Содержание текста о выкупе:
WHAT HAPPENED TO MY COMPUTER?
---
Your important files are encrypted.
Many of your documents, photos, videos, databases andother files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files withoutour decryption service.

CAN I RECOVER MY FILES?
---
Sure. We guarantee that you can recover all your files safely and easily. But you dont havemuch time left.
You can decrypt some of your files for free. Try now by clicking <Decrypt>.
But if you want to decrypt all your files, you need to pay.You only have 3 days to submit the payment. AFter that the price will be doubles.Also, if you don't pay in 7 days, you won't be able to recover your files forever. We will have free events for users who are so poor that they couidn't py in 6 months. 

***
---
- Payment is accepted in Bitcoin only. For more information on Bitcoin, click <About Bitcoin>
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy Bitcoins>.
And send the correct amount to the address specified in this window.
After your payment, click <Check Payment>.

Перевод текста на русский язык:
ЧТО С МОИМ КОМПЬЮТЕРОМ?
---
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше не доступны, т.к. они были зашифрованы. Возможно, вы ищите способ восстановить свои файлы, но не тратьте своё время. Никто не может восстановить ваши файлы без службы расшифровки.

МОЖЕТ ЛИ ВОССТАНОВИТЬ МОИ ФАЙЛЫ?
---
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас нет времени.
Вы можете бесплатно расшифровать некоторые ваши файлы. Попробуйте, нажать кнопку <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить. У вас есть только 3 дня, для платежа. Скорее всего, цена будет удвоена. Также, если вы не заплатите за 7 дней, вы никогда не сможете восстановить свои файлы. У нас будут бесплатные мероприятия для пользователей, которые так бедны, что не могут заплатить через 6 месяцев.

***
---
- Оплата принимается только в биткойнах. Для получения информации о биткойне нажмите кнопку <About Bitcoin>
Пожалуйста, проверьте текущую цену биткойна и купите несколько биткойнов. Для получения информации нажмите кнопку <How to buy Bitcoins>.
И отправьте правильную сумму по адресу, указанному в этом окне.
После оплаты нажмите кнопку <Check Payment>.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KKKryptoLocker.exe (svchost.exe)

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

среда, 26 июля 2017 г.

ABCLocker

ABCLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC из записки), а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: abc и ABC Locker. На файле написано: cloudsword.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CloudSword >> ABCLocker

К зашифрованным файлам добавляется расширение: данные не предоставлены. Возможно, должно быть .abc

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: OPEN_TO_UNLOCK_YOUR_FILES.html

Содержание записки о выкупе:
All your files have been encrypted by ABC Locker
All your files have been encrypted with an unique password using AES-256 CBC encryption.
You are able to unlock your files by paying 0.5 Bitcoins (~€249 / $275)
If payment is not made with 5 days the cost of decrypting your files will rise to 1 Bitcoins (~€500 / $550)!
The only way to get your files back is by purchasing the decryption password!
The decryption password will cost 0.5 Bitcoins = S/€249.
You have 5 days before the price increases to $/€500!
Antivirus software will NOT be able to recover your files! The only way to recover your files is by purchasing the decryption password.
On this page you will be able to purchase the bitcoins needed to receive the unique decryption password and decryption software to unlock your files.
After you have paid the requested amount in bitcoins refresh this webpage.
At the bottom of the page and your unique decryption password will appear alongside a download link for the decryption software.
How to buy Bitcoins:
1. Register a bitcoin wallet (optional)
You can either register your own bitcoin wallet or have the bitcoin seller send the bitcoins directly to your address (click here for more information)
2. Purchasing Bitcoins
You need to purchase 0.5 Bitcoins
Below are a couple websites that allow you to purchase bitcoins
• https://bitonic.nl - Purchase Bitcoin with iDeal and MisterCash
• https://www.coinbase.com - Purchase bitcoins with your bank account or credit card
• https://www. litebit.eu - Purchase bitcoins with Sofort Banking / Giropay I iDeal
• https://www.coinjar.com - Purchase Bitcoins with CreditCard / Bank Transfer
• https://btcdirect.eu - Purchase Bitcoins with iDeal / Bancontact / Bank transfer
• http://localbitcoins.com - Purchase bitcoins with a variety of payment methods such as bank transfer, western union, cash, paypal and credit card
• https://www.bitstamp.net - Purchase Bitcoins through bank transfer
• https://anvcoindirect.eu - Purchase Bitcoins with Giropay / Trustpay / iDeal / SEPA / Bancontact / Mistercash
3. Send 0.5 Bitcoins 
4. Confirm your payment
Once you have paid the required amount of bitcoins refresh this webpage
Please note that it can take up to 20 minutes for the payment to be confirmed.
5. Go to http://dw2dzfkweixaskxr.onion.to/abc/  after making full payment and get the tool to decrypt your files and open them again. For help with payment, email abchelper@sigaint.org

Перевод записки на русский язык:
Все ваши файлы были зашифрованы ABC Locker
Все ваши файлы были зашифрованы с помощью уникального пароля с шифрованием AES-256 CBC.
Вы можете разблокировать свои файлы, заплатив 0.5 биткоина (~ € 249 / $ 275)
Если оплата не сделана за 5 дней, стоимость дешифрования ваших файлов возрастёт до 1 биткоина (~ 500 евро / 550 долларов США)!
Единственный способ вернуть ваши файлы - это купить пароль для дешифрования!
Пароль расшифровки будет стоить 0.5 биткоина = $ / € 249.
У вас есть 5 дней до того, как цена возрастет до $ / € 500!
Антивирусное ПО НЕ сможет восстановить ваши файлы! Единственный способ восстановить ваши файлы - это купить пароль для дешифрования.
На этой странице вы сможете приобрести биткоины, нужные для получения уникального пароля для дешифрования и дешифрования, чтобы разблокировать ваши файлы.
После того, как вы заплатили запрошенную сумму в биткоинах, обновите эту веб-страницу.
В нижней части страницы и ваш уникальный пароль для дешифрования появится рядом с ссылкой для загрузки программы для дешифрования.
Как купить биткоины:
1. Зарегистрируйте биткоин-кошелёк (необязательно)
Вы можете зарегистрировать свой собственный биткоин-кошелёк или попросить продавца биткоинов отправить биткоины прямо на ваш адрес (щелкните здесь для получения дополнительной информации)
2. Покупка биткойнов
Вам надо приобрести 0.5 биткоина
Ниже приведены несколько веб-сайтов, которые помогут вам покупать биткоины
• https://bitonic.nl - покупка биткоинов с iDeal и MisterCash
• https://www.coinbase.com - Покупка биткоинов со своим банковским счетом или кредитной картой
• https: // www. Litebit.eu - Покупка биткоинов с помощью Sofort Banking / Giropay I iDeal
• https://www.coinjar.com - Покупка биткоинов с помощью кредитной карты / банковского перевода
Https://btcdirect.eu - покупка биткоинов с помощью iDeal / Bancontact / банковский перевод
• http://localbitcoins.com - Покупка биткоинов с разными способами оплаты, такими как банковский перевод, Western Union, наличные деньги, PayPal и кредитная карта
• https://www.bitstamp.net - покупка биткойнов посредством банковского перевода
• https://anvcoindirect.eu - Покупка биткойнов с помощью Giropay / Trustpay / iDeal / SEPA / Bancontact / Mistercash
3. Отправить 0.5 биткоины
4. Подтвердите платеж
После того, как вы заплатили нужное количество биткоинов, обновите эту веб-страницу
Обратите внимание, что подтверждение платежа может занять до 20 минут.
5. Перейдите по адресу http://dw2dzfkweixaskxr.onion.to/abc/ после полной оплаты и получите инструмент для расшифровки ваших файлов и откройте их снова. Для получения помощи по оплате email abchelper@sigaint.org


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, отключает файервол командами:
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

netsh.exe Firewall set opmode disable

Список файловых расширений, подвергающихся шифрованию:
.001, .1cd, .3fr, .3gp, .7z, .DayZProfile, .ac3, .acc, .accdb, .ai, .ape, .apk, .arch00, .arw, .asp, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .bson, .cas, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db, .db0, .dbf, .dbfv, .dcr, .der, .desc, .divx, .djvu, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .epk, .eps, .epub, .erf, .esm, .exif, .ff, .flac, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .gzip, .h, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .ifo, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .java, .jfif, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .kwm, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m2v, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .md, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mkv, .mlx, .mov, .mp3, .mp4, .mpeg, .mpg, .mpqge, .mrw, .mrwref, .myd, .ncf, .nef, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .png, .pps, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .pwm, .py, .qbb, .qbw, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .rdf, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sqlite, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tar, .tax, .tif, .tor, .torrent, .txt, .unity3d, .upk, .vdf, .vfs0, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xxx, .zip, .ztmp (242 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
OPEN_TO_UNLOCK_YOUR_FILES.html
abclocker.exe (cloudsword.exe)
cloudsword.pdb
Windows Update.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://dw2dzfkwejxaskxr.onion.to/abc/
Email: abchelper@sigaint.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>
ANY.RUN анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ABCLocker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 24 июля 2017 г.

WannaCryOnClick

WannaCryOnClick Ransomware

(подражатель, zip-вымогатель)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $7000 в BTC, чтобы вернуть файлы. Оригинальное название: Wanna. На самом деле файлы не шифруются, а помещаются в архив. На файле написано: Wanna.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: WannaCry > fake! > WannaCryOnClick


Этимология названия:
Шифровальщик имитирует WannaCryДля создания защищенного паролем ZIP-файла с расширением .EOC используется программа EncryptedOnClick. Путём сложения названий "WannaCry" + "EncryptedOnClick" получилось название "WannaCryOnClick"

К фейк-зашифрованным, а фактически помещённым в общий zip-архив файлам, добавляется расширение .EOD

Активность этого крипто-вымогателя пришлась на вторую половину июля 2017 г. Ориентирован на турецких пользователей, что не мешает распространять его по всему миру. Часть текста на английском языке. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops, your files have been encrypted!
---
Sisteminizdeki tüm datalar backuplarınız dahil tümüyle şifrelenmiştir.
Datalarınızı eksiksiz olarak geri alabilmek için tek yol aşağıdaki bitcoin adresine 57,000 göndermektir
Şu anda sisteminize tam erişimimiz var. Eğer isteseydik tüm datalarınızı yok edebilirdik.
Yerel ve Nas sunucunuza ve terminal makinalarınıza herhangi bir zarar verilmemiştir.
Bilgi ve belgelerin içeriklerine herhangi bir erişimimiz olmadı.
Ancak öngörülen süre içerisinde ödemeyi yaparsanız datalarınızdaki şifre kaldınlacaktır.
Ödemeyi yapmaz ve bizimle anlaşmazsanız dataları halka açmaktan geri durmayacağız,
bitcoin transferi tamamlandıktan sonra "Check Payment" butonuna tıklamanız yeterli.
Programdan bize bildirim gelecektir.
Sunucunun internet bağlantısını kesmeyin...
bitcoin transferi işlemi başarılı olduğunda <Decrypt> butonu aktif olacaktır.
<1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz>
---
Send $7000 worth of bitcoin to this address:
1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz
[Сheck Payment]   [Decrypt]

Перевод записки на русский язык:
Упс, ваши файлы были зашифрованы!
---
Все данные в вашей системе, включая резервные копии, полностью зашифрованы.
Единственный способ вернуть данные полностью - отправить $7000 на следующий биткоин-адрес
У нас есть полный доступ к вашей системе прямо сейчас. Мы уничтожим все данные, если захотим.
Ваши локальные и Nas-серверы и ваши терминальные машины не повреждены.
У нас не было никакого доступа к содержимому информации и документов.
Однако, если вы платите в течение установленного срока, пароль в ваших данных будет удален.
Если вы не платите, и вы не согласны с нами, мы не будем останавливаться на открытии данных для общественности.
По завершении передачи биткоинов нажмите кнопку "Check Payment".
Программа уведомит нас.
Не прерывайте подключение к Интернету сервера ...
Когда передача биткоинов будет успешна, кнопка <Decrypt> будет активна.
<1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz>
---
Отправьте $7000 в биткоинах по этому адресу:
1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz
[Сheck Payment]   [Decrypt]


Важное замечание!
Кнопки "Сheck Payment" и "Decrypt", которые находятся под текстом о выкупе, не соответствуют своим надписям. Вместо этого, при каждом нажатии они отправляют электронное сообщение на адрес nazm.fatma@yandex.com, автоматически информируя разработчиков о том, какая кнопка была нажата пользователем. Причем, в качестве отправителя задан email-адрес muhasebe@komposan.com, а в качестве получателя - email-адрес nazm.fatma@yandex.com

Турецкое слово "muhasebe" означает "учёт". 
Fatma Nazm - по-видимому, это имя и фамилия. 

Вероятно, такое нетрадиционное предназначение кнопок сделано с целью, так сказать, "изучения спроса" и для информирования вымогателей о том, что кто-либо из напуганных жертв согласен заплатить затребованную сумму в 7000 долларов в качестве выкупа.

 Важное замечание для тех, кто думает, что Яндекс - это Россия. 
Нет, Яндекс - это также Украина, Турция и ряд других стран. 
Поисковая система Яндекс недавно стала и турецкой поисковой системой, включая все сервисы Яндекса (поиск, почта, облачный диск и пр.), со всеми вытекающими отсюда последствиями. Мошенники, вымогатели и другие злоумышленники тоже стали этим пользоваться. Этот пример с почтой на Яндексе, тому подтверждение. Более того, любой человек, из любой точки мира может завести себе почту на Яндексе. 



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Также может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует программу EncryptedOnClick для создания защищенного паролем ZIP-файла с расширением .EOC, а затем запускает экран с требованиями выкупа.

Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются в текущей версии. После доработки это вполне могут отказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Файлы, связанные с этим Ransomware:
Wanna.exe
<random>.exe
<random>.tmp

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: muhasebe@komposan.com
nazm.fatma@yandex.com
BTC: 1Hydrt8E3ybCwS7YBtggFFNn1AyrqWaBzz
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as WannaCryOnClick)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams‏, Toffee‏
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 23 июля 2017 г.

Bam!

Bam! Ransomware

BkavRansomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email, чтобы узнать, как вернуть файлы. Оригинальное название: BkavRansomware (появилось в новой версии). Раннее название получил от добавляемого расширения. 
---
Обнаружения: 
DrWeb -> Trojan.Encoder.13136
ALYac -> Trojan.Ransom.Bam
BitDefender -> Generic.Ransom.Bam.89FB9098
Bkav Pro -> W32.AIDetect.malware1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OEB
Kaspersky -> Trojan-Ransom.Win32.Agent.abgf
Microsoft -> Trojan:Win32/Vagger!rfn
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_BAM.B
---

© Генеалогия: Bam! (2017) > Bkav > пропуск в 4 года > 
Bam! (2021)

К зашифрованным файлам добавляется расширение .bam!

Активность этого крипто-вымогателя пришлась на вторую половину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Вероятно, распространяется во Вьетнаме. 

Запиской с требованием выкупа выступает скринлок, встающий обоями рабочего стола:

Содержание текста о выкупе:
Your files will be lost on:
23:58:26
YOUR COMPUTER AND FILES ARE ENCRYPTED
Encryption was made with a special crypto-code!
There are NO CHANCE to decrypt it without our special software and your unique private key!
To buy software. You need to contact us by Email:
1. abc@xyz.com
2. acc@xyz.com

Перевод текста на русский язык:
Ваши файлы будут потеряны:
23:58:26
ВАШ КОМПЬЮТЕР И ФАЙЛЫ ЗАШИФРОВАНЫ
Шифрование было сделано с помощью специального криптокода!
Нет шанса расшифровывать его без нашей специальной программы и вашего уникального секретного ключа!
Купите программу. Вам надо связаться с нами по email:
1. abc@xyz.com
2. acc@xyz.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Изображение, заменящее обои. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Bam! (Bam) Ransomware - июль 2017
Bkav Ransomware - август 2017 
--- 4 года пропуска ---
Bam! Ransomware - июнь 2021


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление без даты:
В новой версии использует файл с другим названием.
На файле написано: BkavRansomware

Вариант от 4 июня 2021 года:
Отдельная статья: Bam-2021 Ransomware >>
Расширение: .bam!
Маркер файлов: .bam! 
Сумма выкупа: $300 в BTC
BTC-кошелек: 1Fk7kTapWuEFCLTCmLR64kYBd9o8UkcNeE


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Bam!)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams‏, Michael Gillespie
 TrendMicro
 Andrew Ivanov (article author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 21 июля 2017 г.

SnakeLocker

SnakeLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные с помощью AES/RSA, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: SnakeLocker. На файле написано: SnakeLocker.exe. Написан на языке программирования Python.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .snake и .TGIF

Образец этого крипто-вымогателя был обнаружен в июле 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока шифрует только файлы в специальном месте — во временной папке "_MEI2242

Записка с требованием выкупа называется: INSTRUCTIONS-README.html

Содержание записки о выкупе:
Your files have been locked!
---
Your files have been securely encrypted with a top notch, extremely secure encryption algorithm. The only way you can
get these files back is to pay a ransom of 0.1 Bitcoins.
To proceed to the next step in this process, download the Tor Browser Bundle here. Open the Tor Browser bundle and
proceed to the following link: 
xxxxxxxx.onion/decrypt.php
This link will give you payment instructions.
Don't know how to get Bitcoins? No problem. You can buy bitcoins at any of the following websites:
1. xxxxs://localbitcoins.com/ (cash)
2. xxxxs://buy.bitcoin.com/ (credit card)
---
For more options on purchasing bitcoins, see this article.

Перевод записки на русский язык:
Ваши файлы заблокированы!
---
Ваши файлы были надежно зашифрованы с помощью первоклассного, чрезвычайно безопасного алгоритма шифрования. Единственный способ, которым вы можете вернуть эти файлы, это заплатить выкуп в размере 0,1 биткоинов.
Чтобы перейти к следующему этапу этого процесса, загрузите пакет Tor Browser Bundle. Откройте пакет Tor Browser и перейдите по следующей ссылке:
xxxxxxxx.onion/decrypt.php
Эта ссылка даст вам инструкции по оплате.
Не знаете, как получить биткоины? Нет проблем. Вы можете купить биткоины на любом из следующих веб-сайтов:
1. xxxxs://localbitcoins.com/ (наличные)
2. xxxxs://buy.bitcoin.com/ (кредитная карта)
---
Сведения о покупке биткоинов см. в этой статье.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INSTRUCTIONS-README.html
SnakeLocker.exe
\_MEI2242\
Crypto.Cipher._AES.pyd
Microsoft.VC90.CRT.manifest
SnakeLocker.exe.manifest
_ctypes.pyd
_hashlib.pyd
_multiprocessing.pyd
_socket.pyd
_ssl.pyd
bz2.pyd
msvcm90.dll
msvcp90.dll
msvcr90.dll
pyexpat.pyd
python27.dll
pywintypes27.dll
select.pyd
unicodedata.pyd
win32api.pyd
win32console.pyd
win32event.pyd
win32gui.pyd
Include\pyconfig.h

Расположения:
\Temp\_MEI2242\Crypto.Cipher._AES.pyd
\Temp\_MEI2242\Microsoft.VC90.CRT.manifest
\Temp\_MEI2242\SnakeLocker.exe.manifest
\Temp\_MEI2242\_ctypes.pyd
\Temp\_MEI2242\_hashlib.pyd
\Temp\_MEI2242\_multiprocessing.pyd
\Temp\_MEI2242\_socket.pyd
\Temp\_MEI2242\_ssl.pyd
\Temp\_MEI2242\bz2.pyd
\Temp\_MEI2242\msvcm90.dll
\Temp\_MEI2242\msvcp90.dll
\Temp\_MEI2242\msvcr90.dll
\Temp\_MEI2242\pyexpat.pyd
\Temp\_MEI2242\python27.dll
\Temp\_MEI2242\pywintypes27.dll
\Temp\_MEI2242\select.pyd
\Temp\_MEI2242\unicodedata.pyd
\Temp\_MEI2242\win32api.pyd
\Temp\_MEI2242\win32console.pyd
\Temp\_MEI2242\win32event.pyd
\Temp\_MEI2242\win32gui.pyd
\Temp\_MEI2242\Include\pyconfig.h
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  +VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Имеется также доделанная версия, которая может шифровать файлы уже в директориях пользователя. Удаляет теневые копии файлов. 
Расширение: .TGIF
Список файловых расширений: тот же. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SnakeLocker)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 Lawrence Abrams
 TrendMicro
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *