Если вы не видите здесь изображений, то используйте VPN.

понедельник, 20 мая 2019 г.

BulbaCrypt HT

BulbaCrypt HT Ransomware 

MarozkaTear Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Bulba, ss.exe и God.exe

Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Generic.Ransom.Hiddentear.A.*
Symantec -> Ransom.HiddenTear!g1
ALYac -> Trojan.Ransom.BulbaCrypt

© Генеалогия: HiddenTear >> Marozka > BulbaCrypt > HermesCrypt



К зашифрованным файлам добавляется расширение: .Crypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted .Crypted.
This form files '.Crypted' is a joint development American Hackers.
You can only recover files using a decryptor and password, which, in turn, only we know.
It is impossible to pick it up.
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password
In no case do not modify the files! But if you want, then make a backup.
Drop us an email at the address india2lock@gmail.com
You have 48 hours left. If they are not decrypted then after 48 hours they will be removed!!!

Перевод записки на русский язык:
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) этого компьютера была зашифрована, используя самые криптографические алгоритмы.
Все зашифрованные файлы имеют формат .Crypted.
Эта форма файлов '.Crypted' является совместной разработкой American Hackers.
Вы можете восстановить файлы только используя расшифровщик и пароль, которые, в свою очередь, знаем только мы.
Подобрать это невозможно.
Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не может решить эту проблему, не зная пароля
Ни в коем случае не изменяйте файлы! Но если хочешь, то сделай бэкап.
Напишите нам письмо на адрес india2lock@gmail.com
У вас осталось 48 часов. Если они не расшифрованы, то через 48 часов они будут удалены !!!

Запиской с требованием выкупа также выступает экран блокировки.

Содержание текста на экране:
Hello - admin
Your computer name - USER-PC
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted ".Crypted".
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password.
Click the tab "Decryption instructions" and follow the instructions

Перевод текста на русский язык:
Привет - admin
Имя вашего компьютера - USER-PC
Вся ваша информация (документы, базы данных, резервные копии и другие файлы) этого компьютера была зашифрована, используя самые криптографические алгоритмы.
Все зашифрованные файлы имеют формат ".Crypted".
Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не может решить эту проблему, не зная пароля.
Нажмите на вкладку "Инструкции по расшифровке" и следуйте инструкциям

---

Скриншоты с другими вкладками экрана блокировки. 




Скриншоты с сайта ethclicks.live, который теперь заблокирован, показывают то, что там было.  
Этот сайт занимался мошенничеством,  обещавшим заработать вам криптовалюту Ethereum, если вы будет направлять других людей на их сайт. В их FAQ, говорится, что за 100 посещений по вашей реферальной ссылке, вы заработаете 0.3 Ethereum, что стоит примерно 75 долларов США. Соответственно, за 1000 визитов будет 3 Ethereum (750$). 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Вредоносная атака сопровождается работой трояна-инфостилера (похитителя паролей), который обнаруживается половиной антивирусных движков на сайте VirusTotal. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ss.exe
HOW TO DECRYPT FILES.txt
Decrypter.exe
BotCollector.exe - троян, который притворяется генератором биткоинов, но просто запускает вредоносное ПО.
<random>.exe - случайное название вредоносного файла
ransom.jpg


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://ethclicks.live
xxxx://ethclicks.live/lo/write.php
xxxx://ethclick.live/ss.exe - payload
xxxx://ethclicks.live/lo/index.html - Panel
Email: india2lock@gmail.com
BTC: 1Whw7gqqi9GeqHixPvgMNo2aiHSSEyPvT
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >> 
𝚺  VirusTotal analysis на файл Decrypter.exe >> 
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>  AR>>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Marozka Ransomware - март 2019
BulbaCrypt Ransomware - май 2019
HermesVirus HT Ransomware - май 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 27 мая 2019:
Новые ссылки на аналогичные сайты: 
xxxx://ethchain.live/BotCollector.zip
xxxx://ethchain.live/1.exe
xxxx://ethmoney.live/BotCollector.zip
xxxx://ethmoney.live/1.exe
xxxx://ethcrypto.live/BotCollector.zip
xxxx://ethcrypto.live/1.exe
xxxx://ethpromo.live/BotCollector.zip
xxxx://ethpromo.live/1.exe
xxxx://ethmoney.club/BotCollector.zip
xxxx://ethmoney.club/1.exe
Скриншоты с главной страницы с информацией. 

Обновление от 9 июля 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .CROWN
Записка: HOW TO DECRYPT FILES.txt 
Также используется экран блокировки. 
Email: hghtllfh77137@gmail.com
Файл EXE: God.exe
Результаты анализов: VT + AR + IA
➤ Содержание текстовой записки: 
All your information (documents, databases, backups and other files) on this computer has beenencrypted using the most cryptographic algorithms.
All encrypted files are formatted .CROWN.
This form files .CROWN is a joint development American Hackers.
No system administrator in the world can solve this problem without knowing the password

Drop us an email at the address hghtllfh77137@gmail.com with your PC name
---
 
 


Обновление от 11 июля 2019:
Расширение: .Pox
Записка: HOW TO DECRYPT FILES.txt
Email: vpsimf@gmail.com
URL: xxxx://maper.info
xxxx://kingswagy.ru/Decrypter.exe
xxxx://kingswagy.ru/ransom.jpg
Результаты анализов: VT + VMR + AR

➤ Содержание текстовой записки: 
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted .Pox.
This form files '.Pox' is a joint development American Hackers.
You can only recover files using a decryptor and password, which, in turn, only we know.
It is impossible to pick it up.
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password
In no case do not modify the files! But if you want, then make a backup.
Drop us an email at the addres vpsimf@gmail.com
You have 48 hours left. If they are not decrypted then after 48 hours they will be removed!!!




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
ID Ransomware (ID as HiddenTear)
Write-up, Topic of Support
Added later:
Write-up (added on May 26, 2019)
Write-up
Write-up
Thanks:
Frost, Petrovic, JAMESWT, Michael Gillespie
Andrew Ivanov (author) *
to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 18 мая 2019 г.

EZDZ-Locker

EZDZ Ransomware

EZDZ-Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.MulDrop9.10170, Trojan.Encoder.29852
BitDefender -> Generic.Ransom.GarrantDecrypt.B.*
Malwarebytes -> Ransom.EZDZ
Kaspersky -> Exploit.Win32.UAC.akb
ESET-NOD32 -> A Variant Of Win32/Filecoder.Outsider.E


© Генеалогия: ??? >> EZDZ-Locker > DeathRansom


К зашифрованным файлам добавляется расширение: .EZDZ


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранний образец этого крипто-вымогателя был обнаружен в начале мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На данный момент, видимо, находится в разработке. 

Записка с требованием выкупа называется: HELP_PC.EZDZ-REMOVE.txt

Содержание записки о выкупе:
test
Fg1ikwrUMPoSCSC5Pqinf8QT3lu5S84KTBafvhYS5gBwUD2PzU82deNMs/pznZe6D41eapywzr+4rEoVnFmlRu1Kfx52C7aVrg1hFiU58WL5JOwSXRQuYRKOqxOvCpKhY8OTbJqMLdQm7XdpFtYI8VqLG1DjB53KOpFCrZTkrSCCDnJpkeK+d2mkeymGKlerVrLc2fY2xsx8rTcGdE8Us0YXospMXRTrk2IaoRTe/7ZJznANmCR89TdM+RrkBWOPar4X7I8lR+Qve9EabbNYZ9tLTyqWzW8mtb4fN8lDQlf7CUR2cb66Piaee3KU886VfuBPFtOl2X6qkeRq2SePOnLUNPVEl85Sxhluhjtm6+XyVdPds8I+E/E3GnG9kZwBvn/TaICJtJ6zOC/1w/ZOzSiYY3x+xGi5SaW/UcTLpN5NC3+FLeTdTfcnqUWbcu/zM1BQxNgY0qxFYlsJWo79Eksxt4A7kEDvkRc2xKzRe2SPu95e1ioA0Xk0XLPbk7VLD1WEDB5+c55ugIJA3VQpI1fJtPpV7ZdUqAfKkKQu4C/B8/oc7uMGpe7MCGDOr1KbSQmYxkIarDpZ4K/LRr5gz+n4EDtsFWriZwG3dG7wcU05vQewxHp9hLTdzIgqSTje1Cdin2A809GXyKWnrDnDd26Hrm4fqZPIUTrNLcMSxtc=
test



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP_PC.EZDZ-REMOVE.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 мая 2019:
Пост в Твиттере >>
Тестовая версия. 
Расширение: .EZDZ
Записка: HELP_PC.EZDZ-REMOVE.txt
Результаты анализов: VT + AR + AR

Обновление от 28 декабря 2019:
Пост в Твиттере >>
Расширение: .help
Записка: READ_ME.TXT
Email: helpforyoupc@tutanota.com
Результаты анализов: VT + HA + IA


Обновление от 13-14 декабря 2019:
Пост в Твиттере >>
Расширение: .chch
Шифрует без тормозов, на зашифрованном файле может быть даже такое расширение: 
.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch.chch
Записка: READ_ME.TXT
Email: squadhack@email.tg
Файл: locker.exe
Результаты анализов: VT + IA + AR + JSB
---
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.29852
ESET-NOD32 -> A Variant Of Win32/Filecoder.DeathRansom.A
Malwarebytes -> Ransom.Squad
Rising -> Trojan.Generic!8.C3 (CLOUD)
Symantec -> Ransom.Chy
TrendMicro -> Ransom.Win32.DEATHRANSOM.B
---
 
➤ Содержание записки: 
Your files are encrypted! 
All your important data has been encrypted.
To recover data you need decryptor.
To get the decryptor you should:
Send 1 test image or text file squadhack@email.tg
In the letter include your personal ID (look at the end of this document).
We will give you the decrypted file and assign the price for decryption all files 
After we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
Attention!
Only squadhack@email.tg     can decrypt your files 
Do not trust anyone  squadhack@email.tg
Do not attempt to remove the program or run the anti-virus tools 
Attempts to self-decrypting files will result in the loss of your data 
Decoders other users are not compatible with your data, because each user's unique encryption key 
ID: lXzW6O/wR3+idOrfP7zPVbNjQRl8hgXLFrslgbzZx3ftD/ZY8nIH [всего 684 знаков]







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, JAMESWT
 Andrew Ivanov (author)
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 16 мая 2019 г.

Buran, Buran 2.0

Buran Ransomware

Buran 2.0 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует выкуп в $100 в BTC (или больше), чтобы вернуть файлы. Оригинальное название: BURAN (Buran). На файле написано: ctfmon.exe или что-то другое. Написан на Borland Delphi. 
---
Обнаружения: 
DrWeb -> Trojan.Encoder.28441, Trojan.Encoder.25574, Trojan.Encoder.28155
ALYac -> Trojan.Ransom.VegaLocker
BitDefender -> Trojan.GenericKD.41353773, Trojan.GenericKD.32457997
ESET-NOD32 -> Win32/Filecoder.Buran.D, A Variant Of Win32/Filecoder.Buhtrap.D, A Variant Of Win32/Filecoder.Buran.F
Malwarebytes -> Ransom.Jamper.brn, Ransom.FileCryptor
McAfee -> Ransom-Buran.a
Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.2, Downloader
---

© Генеалогия: Vega (VegaLocker) > Jamper (Jumper) > BURAN (Buran) > Buran-Ghost, Storm, Zeppelin и другие варианты


Изображение многоразового космического корабля "Буран" (СССР)


Вырезка из кода Buran Ransomware

К зашифрованным файлам добавляется расширение по шаблону "8-4-4-4-12": .XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Примеры расширений:
.62E93854-821C-3F0E-7556-D0F4F2E6E1C2
.3674AD9F-5958-4F2A-5CB7-F0F56A8885EA
.9F9CF853-ED0D-F661-54F1-3761A306C6D1

Примеры зашифрованных файлов: 
Document.doc.62E93854-821C-3F0E-7556-D0F4F2E6E1C2
CO.pdf.3674AD9F-5958-4F2A-5CB7-F0F56A8885EA
peaceable.jpg.9F9CF853-ED0D-F661-54F1-3761A306C6D1

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась на вторую половину мая 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!! YOUR FILES ARE ENCRYPTED !!!.TXT

Содержание записки о выкупе:
Hello. Your files are encrypted. Do not worry, we can help you. You can contact us by email. 
recovery_server@protonmail.com 
recovery1server@cock.li 
Send us 3-5 any encrypted files no larger than 10 MB. And also send us your personal ID: 
62E93854-821C-3F0E-7556-D0F4F2E6E1C2
>>> Attention !!! 
Send a message to both mailboxes, since the letter cannot get into one of the mailboxes.

Перевод записки на русский язык:
Привет. Ваши файлы зашифрованы. Не волнуйтесь, мы можем вам помочь. Вы можете написать нам на email.
recovery_server@protonmail.com
recovery1server@cock.li
Отправьте нам 3-5 любых зашифрованных файлов размером не более 10 МБ. А также отправьте нам свой личный ID:
62E93854-821C-3F0E-7556-D0F4F2E6E1C2
>>> Внимание !!!
Отправьте сообщение на оба почтовых ящика, т.к. письмо не может попасть в один из почтовых ящиков.



Технические детали

Распространяется как Ransomware для продажи на подпольных форумах.
Текст на форумах распространитель пишет на русском языке. 

Сайты-распространители: 
xxxxs://ifud.ws/ - с 12 мая 2019
xxxxs://verified.sc/ - в тоже время
xxxxs://exploitinqx4sjro.onion/ - в тоже время
xxxxs://forum.zloy.bz/ - с 14 мая 2019
xxxx://darkmarket.la/ - с 14 мая 2019
 
 

Мы не смогли зайти на два сайта. Один из них хочет 50$ за регистрацию, а другой или настроен неправильно, или не хочет, чтобы я на него зашел. Разработчик сделал защиту от запуска на компьютерах пользователей из стран СНГ. Похвально, что ещё кто-то помнит про это СНГ, хотя оно давно лишь фикция. 

Текст на ifud.ws:
Buran Ransomware - гарантированная стабильная работа,гибкий функционал и постоянная онлайн-поддержка
Тема в разделе "Покупка/Продажа | Обмен", создана пользователем buransupport, 14 май 2019.
Buran - стабильный оффлайн-криптолокер, с гибким функционалом и саппортом 24/7.
Функционал:
Надежный криптоалгоритм с использованием глобального и сессионного ключей + случайные файловые ключи;
Сканирование всех локальных дисков и всех доступных сетевых путей;
Высокая скорость: для каждого диска и сетевого пути работает отдельный поток;
Пропуск системных каталогов Windows и каталогов браузеров;
Генерация дешифровщика на основе зашифрованного файла;
Корректная работа на всех ОС от Windows XP, Server 2003 до самых новых;
Локер не имеет зависимостей, не использует сторонние библиотеки, только математика и винапи; Завершение некоторых процессов для освобождения открытых файлов (опционально, обговаривается);
Возможность шифрования файлов без смены расширений (опционально);
Удаление точек восстановления + чистка логов на выделенном сервере (опционально);
Стандартные опции: отстук, автозагрузка, самоудаление (опционально);
Установлена защита от запуска в СНГ сегменте.
Условия:
Обговариваются индивидуально для каждого адверта в зависимости от объёмов и материала.
Начните зарабатывать с нами!
Набор в партнерскую программу продолжается.
Индивидуальные условия и стабильный доход.
Контакты для связи:
buransupport@exploit.im
buransupport@xmpp.jp

Текст на darkmarket.la:
Buran - стабильный оффлайн-криптолокер, с гибким функционалом и саппортом 24/7.
Функционал:
Надежный криптоалгоритм с использованием глобального и сессионного ключей + случайные файловые ключи;
Сканирование всех локальных дисков и всех доступных сетевых путей;
Высокая скорость: для каждого диска и сетевого пути работает отдельный поток;
Пропуск системных каталогов Windows и каталогов браузеров;
Генерация дешифровщика на основе зашифрованного файла;
Корректная работа на всех ОС от Windows XP, Server 2003 до самых новых;
Локер не имеет зависимостей, не использует сторонние библиотеки, только математика и винапи;
Завершение некоторых процессов для освобождения открытых файлов (опционально, обговаривается);
Возможность шифрования файлов без смены расширений (опционально);
Удаление точек восстановления + чистка логов на выделенном сервере (опционально);
Стандартные опции: отстук, автозагрузка, самоудаление (опционально);
Установлена защита от запуска в СНГ сегменте.
Условия: 
25% за дешифратор с каждой выплаты. Жесткого регламента нет, условия обговариваются индивидуально для каждого адверта в зависимости от объёмов и материала.
Начните зарабатывать с нами!
Контакты:
jabber:
buransupport@exploit.im
buransupport@xmpp.jp
Мы на других бордах:
https://verified.sc/showthread.php?p=1040666
https://exploitinqx4sjro.onion/topic/157000
https://forum.zloy.bz/showthread.php?t=155866
Последнее редактирование: 18.05.19

После покупки или иным способом Buran Ransomware уже может находиться на сайтах, распространяющих взломанные программы. Одним из таких сайтов является crackzsoft.com, одно посещение страниц которого для незащищенного компьютера может иметь плачевные последствия (XXS-атаки с применением JS, Flash Player и что-то ещё). По данным BleepingComputer, на таких сайтах стоит наготове набор эксплойтов RIG. 

Специально для тех, кто пользуется Free антивирусами! Они не остановят атаку с использованием уязвимости нулевого дня из набора эксплойтов! Вы и не замените, как они сработают и инфицируют ПК. Прочтите статью об эксплойтах от Лаборатории Касперского. 

После покупки и переделки покупателем может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, других наборов эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует сайты для определения IP и страны компьютера:

iplogger.ru
geoiptool.com

➤ Распространяется с помощью Rig набора эксплойтов (Rig Exploit Kit).

Завершает процессы: 
agntsvc.exe; agntsvc.exe; agntsvc.exe; agntsvc.exe; encsvc.exe; agntsvc.exe; isqlplussvc.exe; anvir.exe; anvir64.exe; ccleaner.exe; ccleaner64.exe; dbeng50.exe; dbsnmp.exe; encsvc.exe; far.exe; firefoxconfig.exe; infopath.exe; isqlplussvc.exe; msaccess.exe; msftesql.exe; mspub.exe; mydesktopqos.exe; mydesktopservice.exe; mysqld-nt.exe; mysqld-opt.exe; mysqld.exe; ncsvc.exe; ocautoupds.exe; ocomm.exe; ocssd.exe; oracle.exe; procexp.exe; regedit.exe; sqbcoreservice.exe; sqlagent.exe; sqlbrowser.exe; sqlserver.exe; sqlservr.exe; sqlwriter.exe; synctime.exe; taskkill.exe; tasklist.exe; tbirdconfig.exe; visio.exe; xfssvccon.exe; sql.exe; oracle.exe; apache.exe; tomcat.exe; tomcat6.exe; u8.exe; ufida.exe; backup.exe; kingdee.exe 


Особенности:
Используется файловый маркет BURAN, добавляемый в начало кода файла. 
Так это выглядит, если открыть зашифрованные файлы в инструментах анализа или в обычном Блокноте. 



Текст из кода:
BEWARE... THIS IS BURAN // MADE IN USSR

Перевод текста:
БОЙТЕСЬ... ЭТО БУРАН // СДЕЛАН В СССР

Список файловых расширений, подвергающихся шифрованию:
Шифрует все файлы, кроме тех, что находятся в белых списках. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Белый список расширений:
.buran, .cmd, .com, .cpl, .dll, .exe, .log, .msp, .msc, .pif, .scr, .sys

Белый список директорий: 
\Windows media player\
\Apple computer\safari\
\Windows photo viewer\
\Windows portable devices\
\Windows security\
\Embedded lockdown manager\
\Reference assemblies\
:\Windows.old\
:\Inetpub\logs\
:\$Recycle.bin\
:\$Windows.~bt\
\Application data\
\Google\chrome\
\Mozilla firefox\
\Opera software\
\Tor browser\
\Common files\
\Internet explorer\
\Windows defender\
\Windows mail\
\Windows nt\
\Windowspowershell\
\Windows journal\
\Windows sidebar\
\Package cache\
\Microsoft help\
:\Recycler
:\Windows\
C:\Windows\
:\Intel\
:\Nvidia\
\All users\
\Appdata\
\Boot\
\Google\
\Mozilla\
\Opera\
\Msbuild\
\Microsoft\

Белый список файлов:
!!! YOUR FILES ARE ENCRYPTED !!!.TXT
boot.ini
bootfont.bin
bootsect.bak
defender.exe
desktop.ini
iconcache.db
ntdetect.com
ntuser.dat.log
unlocker.exe
master.exe
master.dat
ntldr
ntuser.dat
ntuser.ini
temp.txt
thumbs.db
unlock.exe

Файлы, связанные с этим Ransomware:
!!! YOUR FILES ARE ENCRYPTED !!!.TXT
2.exe
2.1.exe
ctfmon.exe
1068A408.buran
68552A69.buran
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Roaming\Microsoft\Windows\ctfmon.exe
%APPDATA%\Microsoft\Windows\ctfmon.exe
%TEMP%\1068A408.buran
%TEMP%\68552A69.buran

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Buran
HKEY_CURRENT_USER\Software\Buran\Knock
HKEY_CURRENT_USER\Software\Buran\Service
HKEY_CURRENT_USER\Software\Buran\Service\Machine ID
HKEY_CURRENT_USER\Software\Buran\Service\Public Key
HKEY_CURRENT_USER\Software\Buran\Stop
HKEY_CURRENT_USER\Software\AutoIt v3\AutoIt
HKEY_CURRENT_USER\Software\Borland\Delphi\Locales
HKEY_CURRENT_USER\Software\Borland\Locales

См. ниже результаты анализов.

Сетевые подключения и связи:
Email: recovery_server@protonmail.com, recovery1server@cock.li
Email продающего: buransupport@exploit.im, buransupport@xmpp.jp
BTC: ---
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis 2.exe >>
Hybrid analysis 2.1.exe >>
𝚺  VirusTotal analysis 2.exe >>
𝚺  VirusTotal analysis 2.1.exe >>
🐞 Intezer analysis 2.exe >>
🐞 Intezer analysis 2.1.exe >>
ᕒ  ANY.RUN analysis 2.exe >>
ᕒ  ANY.RUN analysis 2.1.exe >>
ⴵ  VMRay analysis 2.exe >>
ⴵ  VMRay analysis 2.1.exe >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя
Подробные сведения собираются регулярно. 



=== Дешифровщик === Buran Unlocker ===


Пост в Твиттере >>


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Vega (VegaLocker) Ransomware - февраль 2019
Jamper (Jumper) Ransomware - март, апрель, май 2019
Buran Ransomware - май 2019
Buran 2.0 Ransomware - июнь 2019
Buran-Ghost Ransomware - июнь 2019
Buran-Storm Ransomware - июнь, сентябрь 2019
Zeppelin Ransomware - декабрь 2019 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3-4 июня 2019:
Расширение (шаблон "8-4-4-4-12"): .XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Пример расширения: .1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Пример зашифрованного файла: pacific_2.jpg.1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
Email: jacksteam2018@protonmail.com, notesteam2018@tutanota.com
➤ Содержание записки:
!!! YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important
files are encrypted.
You are not able to decrypt it by yourself! The only method
of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an
email jacksteam2018@protonmail.com  and decrypt one file for free. But this
file should be of not valuable!
Do you really want to restore your files?
Write to email jacksteam2018@protonmail.com OR notesteam2018@tutanota.com
Your personal ID: 1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Attention!
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software,
   it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may
   cause increased price (they add their fee to our) or you can
   become a victim of a scam.

Обновление от 5-6 июня 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Статья на сайте BleepingComputer >>
Расширение (шаблон "8-4-4-4-12"): .XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Пример расширения: .1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Пример зашифрованного файла: pacific_2.jpg.1C81A230-7B5F-4AE4-6F71-EB3958F83XXX
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
Email: polssh1@protonmail.com, polssh@protonmail.com 
Файлы EXE: ctfmon.exe, SpybtIndentify.exe
Результаты анализов: VT + AR + AR


➤ Содержание записки:
!!! YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important
files are encrypted.
You are not able to decrypt it by yourself! The only method
of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an
email polssh1@protonmail.com  and decrypt one file for free. But this
file should be of not valuable!
Do you really want to restore your files?
Write to email polssh1@protonmail.com
               polssh@protonmail.com 
Your personal ID: 26F2E296-91BD-2D7F-DA91-14A202CD0XXX
Attention!
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software,
   it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may
   cause increased price (they add their fee to our) or you can
   become a victim of a scam.

Обновление от 8 июня 2019:
Отдельная статья Buran-Ghost >>
Расширение: .ghost
Email: e95c12d08b14@protonmail.com
e95c12d08b14@airmail.cc
Записка: ===HOW TO RECOVER ENCRYPTED FILES===.TXT

Обновление от 10 июня 2019:
Версия: Buran 2.0 (Buran-II)
Содержание текста со скриншота: 
Что нового:
! Шифрование рандомных участков больших файлов.
Теперь файлы шифруются с большей скоростью.
Окончательно сведена на нет вероятность частичного восстановления архивов, возможная при использовании других шифровальщиков.
! Асинхронный поиск по файловой системе.
Буран-II шифрует файлы по мере нахождения, "перепрыгивая" с носителя на носитель (диск / папку / сетевой путь), нанося наибольший ущерб за минимальное время работы.

Обновление от 17-19 июня 2019:
Версия: Buran 2.0 (Buran-II)
Содержание текста со скриншота: 
* Мы не работаем по СНГ (установлен детект по локали + языку системы)
* Мы не работаем с технически неграмотными и далекими от темы
* Мы можем отказать в выдаче билда без объяснения причин
* Мы не берем оплату за билд и генерацию ключей
---
Наш арсенал пополнился PowerShell-скриптом. 
Теперь, помимо боевого exe, мы выдаем PowerShell-скрипт, содержащий загрузчик Бурана. Используемый в скрипте безфайловый метод запуска позволяет отработать софту из памяти с эффективностью и скоростью, сравнимой с обычным билдом, избегая детектов на рантайме.


Обновление от 26 июня 2019:
Топик на форуме >>
Расширение (шаблон): .-XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Email: endereless@cock.li, happyless@airmail.cc 
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
➤ Содержание записки:
All your files, documents, photos, databases and other important 
files are encrypted. 
You are not able to decrypt it by yourself! The only method 
of recovering files is to purchase an unique private key. 
Only we can give you this key and only we can recover your files. 
To be sure that we have the decryptor and it works you can send an 
email to endereless@cock.li and decrypt one file for free. But this 
file must'nt be of valuable! 
Do you really want to restore your files? 
If you are ready to buy unique private key send an email including you ID to happyless@airmail.cc 
Your personal ID: 1462F1C9-2XXX-BXXX-BXXX-46F88A1FCC7A 
Attention! 
* Do not rename encrypted files. 
* Do not try to decrypt your data using third party software, 
it may cause permanent data loss. 
* Decryption of your files with the help of third parties may 
cause increased price (they add their fee to our) or you can 
become a victim of a scam. 

Обновление от 27 июня 2019:
Версия: Buran 2.0 (Buran-II)
Содержание текста со скриншота: 
* Нас ни разу не дешифровали, аверами неоднократно производился подробный разбор и анализ софта, бесплатный дешифратор не был и не будет выпущен;
* Мы используем свой алгоритм обработки больших файлов, шифруются не первые килобайты данных (многие архивы после такого шифрования можно частично восстановить), не весь файл целиком (очень ресурсоемкая операция, занимает много времени), а случайно выбранные фрагменты, это дает преимущество в скорости и надежности;
* Наш софт работает на всей линейке Windows, начиная от Windows XP ...



Обновление от 29 июня 2019:
Пост на форуме >>
Расширение (шаблон): .XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Email: dcr@cumallover.me
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
➤ Содержание записки:
ALL YOUR FILES HAVE BEEN ENCRYPTED, THERE IS NO WAY TO DECRYPT THEM BY YOURSELF.
IF YOU VALUE YOUR FILES AND WANT TO DECRYPT THEM YOU HAVE TO PAY 100$ IN BITCOINS.
No worry if you don't know what bitcoins are, they are an online currency that is not regulated by any government.
To get some bitcoins you can go to some of this websites:
1. CoinBase.com
In this website you can buy bitcoins using credit card.
2. LocalBitcoins.com
This a popular website where people contact each others to exchange bitcoins for money in paypal, cash and other payment systems.
To get a wallet for payment you need to contact us at dcr@cumallover.me and provide y  our personal ID: 5B581BFD-572C-E8D9-9635-4C28FAA9CE59
YOU HAVE 72 HOURS FROM NOW ON TO SEND THE PAYMENT OR YOU WILL LOSE ALL THE DATA!

Обновление от 29 июня 2019:
Пост в Твиттере >> 
Подробнее о версии >>
Записка: YOUR FILES ARE ENCRYPTED !!!.TXT
Email: surpriseN1@aol.com, surpriseN1@protonmail.com
➤ Содержание записки:
!!!ALL DATA ON THIS PC HAS BEEN ENCRYPTED !!!
                                          Your ID: <!--ID-->
To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a 
secret server on the internet;
The server will destroy the key within 48h after encryption completed.
    To decrypt them send e-mail to this address: 
    surpriseN1@aol.com  or surpriseN1@protonmail.com
That you trusted us you can send 1 file NOT containing valuable information for decoding
Attention!
* Maybe you are busy looking for a way to recover your files, but do not waste your time, 
  nobody can recover your files without our decryption service.
* Do not rename encrypted files. 
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
---
 Пропускает файлы с расширениями: 
.bat, .cmd, .com, .cpl, .dll, .msc, .msp, .pif, .scr, .sys, .log, .exe, .buran
---
 Пропускает следующие файлы: 
boot.ini; bootfont.bin; bootsect.bak; desktop.ini; ctfmon.exe; iconcache.db; master.exe; master.dat; ntdetect.com; ntldr; ntuser.dat; ntuser.dat.log; ntuser.ini; thumbs.db; 
---
➤ Пропускает директории: 
:\$RECYCLE.BIN\;:\$Windows.~bt\;:\RECYCLER;:\System Volume Information\;:\Windows.old\;:\Windows\;:\intel\;:\nvidia\;:\inetpub\logs\;\All Users\;\AppData\;\Apple Computer\Safari\;\Application Data\;\Boot\;\Google\;\Google\Chrome\;\Mozilla Firefox\;\Mozilla\;\Opera Software\;\Opera\;\Tor Browser\;\Common Files\;\Internet Explorer\;\Windows Defender\;\Windows Mail\;\Windows Media Player\;\Windows Multimedia Platform\;\Windows NT\;\Windows Photo Viewer\;\Windows Portable Devices\;\WindowsPowerShell\;\Windows Photo Viewer\;\Windows Security\;\Embedded Lockdown Manager\;\Windows Journal\;\MSBuild\;\Reference Assemblies\;\Windows Sidebar\;\Windows Defender Advanced Threat Protection\;\Microsoft\;\Package Cache\;\Microsoft Help\;
---
 Завершает процессы:

agntsvc.exe; agntsvc.exeagntsvc.exe; agntsvc.exeencsvc.exe; agntsvc.exeisqlplussvc.exe; anvir.exe; anvir64.exe; ccleaner.exe; ccleaner64.exe; dbeng50.exe; dbsnmp.exe; encsvc.exe; far.exe; firefoxconfig.exe; infopath.exe; isqlplussvc.exe; msaccess.exe; msftesql.exe; mspub.exe; mydesktopqos.exe; mydesktopservice.exe; mysqld-nt.exe; mysqld-opt.exe; mysqld.exe; ncsvc.exe; ocautoupds.exe; ocomm.exe; ocssd.exe; oracle.exe; procexp.exe; regedit.exe; sqbcoreservice.exe; sqlagent.exe; sqlbrowser.exe; sqlserver.exe; sqlservr.exe; sqlwriter.exe; synctime.exe; taskkill.exe; tasklist.exe; tbirdconfig.exe; visio.exe; xfssvccon.exe; sql.exe; oracle.exe; apache.exe; tomcat.exe; tomcat6.exe; u8.exe; ufida.exe; backup.exe; kingdee.exe; 

Обновление от 30 июня 2019:
Пост на форуме >>
В начале некоторых зашифрованных файлов есть слова "BURAN" и "STORM".

Обновление от 4 июля 2019:
Пост в Твиттере >>
Расширение (шаблон): .-XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Пример расширения: .-20D3E156-A287-60BB-BBEE-4579C665442A
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
Email: rizonlocker@airmail.cc, rizonlocker@firemail.cc 
Файл: \AppData\Local\Temp\PreCrack-Ableton.exe
Файл: \Temp\buran.exe
Файл: \Temp\9B85964F.buran
Файл: \Desktop\b.exe и другие
Результаты анализов: VT + VMR + AR / VT + VMR
➤ Содержание записки:
All your files, documents, photos, databases and other important files are encrypted. 
You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. 
Only we can give you this key and only we can recover your files. 
To be sure we have the decryptor and it works you can send an email rizonlocker@airmail.cc or rizonlocker@firemail.cc and decrypt one file for free. But this file should be of not valuable! 
Do you really want to restore your files? 
Write to email rizonlocker@airmail.cc or rizonlocker@firemail.cc 
Your personal ID: 240ED6E0-5A46-4764-9910-904D3E83F605 
Attention! * Do not rename encrypted files. 
* Do not try to decrypt your data using third party software, it may cause permanent data loss. 
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


Обновление от 8 июля 2019:
Пост в Твиттере >>
Пример расширения: .-16C06E83-81AD-7D23-B247-5A57886B0D29
Результаты анализов: VT + VMR / VT + VMR

Обновление от 15 июля 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение (шаблон): .-XXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Расширение (пример): .-11C398BB-DEC0-453B-21AC-C9C8022B4968
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
Email: johnsmith654@cock.li or johnsmith456@cock.li 
Результаты анализов: VT + HA
 

Обновление от 16 июля 2019:
Пост в Твиттере >>
Расширение (шаблон): .{XXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Расширение (пример): .{XXXXXXX-2499-D1EB-C607-6F3F031062D5}
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
Email: sanio.marino@aol.com
Результаты анализов: VT + HA
 

Обновление от 26 июля 2019:
Пост в Твиттере >>
Пример расширения: .{3EC7AD33-C616-54FC-3819-FD033E71F165}
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT

Email: lewismccown@yahoo.com, bullockcraig@aol.com 
Email: bavaria54@protonmail.com, nic.shulz@protonmail.com
Результаты анализов на файл: Edwin Dewitt - CV.doc  VT + VMR
Результаты анализов на файл:  LDR_2886.js  VT + VMR


Обновление от 1 сентября 2019: 
Самоназвание: Buran Generation V
Расширение: .[XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX]
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: established01@protonmail.com, established@cock.li 

Исследование от K-Vitali >>
Результаты анализов: VT + AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.28155
BitDefender -> Generic.Ransom.Buhtrap.51533F22
ESET-NOD32 -> A Variant Of Win32/Filecoder.Buran.F

Обновление от 13 сентября 2019:
Вариант: Buran-Storm 
 В начале некоторых зашифрованных файлов есть слова "BURAN" и "STORM".
Топик на форуме >>
Пост на форуме >>
Пример расширения: .[4D038CB6-45CB-303D-B3C5-710D3731F35B]
Email: epicday@cock.li, epicday@airmail.cc
➤ Содержание записки:
!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
All your files, documents, photos, databases and other important
files are encrypted.
You are not able to decrypt it by yourself! The only method
of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.
To be sure we have the decryptor and it works you can send an
email epicday@cock.li OR epicday@airmail.cc and decrypt one file for free. But this
file should be of not valuable!
Do you really want to restore your files?
Write to email epicday@cock.li OR epicday@airmail.cc
Your personal ID: 4D038CB6-XXXX-XXXX-XXXX-XXXXXXXXXXXX
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software,
   it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may
   cause increased price (they add their fee to our) or you can
   become a victim of a scam.


Обновление от 16 сентября 2019:
Пост в Твиттере >>
Расширение: .<Personal_ID>
Расширение (шаблон): .XXX-XXX-XXX
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: BhatMaker@protonmail.com BhatMaker@tutanota.com 
Файл: Claim_916.doc (macros)
Результаты анализов: VT + VT
 

Обновление от 19 сентября 2019:
Пост в Твиттере >>
Расширение (шаблон): .[XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX]
Расширение (пример): .[1C164FEF-2F8B-8868-C1A0-30A1F9E39331]
Записка:  !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: decryptor@cock.email, stopcrypt@cock.email 
Файл: buran.exe
Результаты анализов: VT + AR

Обновление от 21 октября 2019:
Пост на форуме >>
Пример расширения: .[4D24C321-E3BC-0AA1-FBE9-9E507A76A9B0]
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: recovery_server@protonmail.com, recowery1servers@cock.li 
➤ Содержание записки:
Dear customer We apologize for having to encrypt your files. 
It’s not your fault, because your security system is built at a good level, but during the attack we used unique exploits designed for vulnerabilities in microsoft software and antiviruses, which completely does not depend on how well your security system is built. 
Encryption algorithm: 
Master key: RSA-2048, the public key is stored in the body of ransomwsre
private is not available (the master key is individual for each 
companyes, only used to create decrypt software) 
Session key: RSA-512, private key not available (Session 
individual key for each attacked PC, private 
The session key is encrypted with a Master key and is stored in the body of each 
encrypted file, as well as the public Session key) 
File key: AES-256 / CBC: individual for each file, 
encrypted with a Session key and sewn into the body of each encrypted file. 
We strongly recommend that you do not use third-party software to decrypt your files, as this can lead to the final loss of files due to corrupted headers. But if you still want to try to decrypt your files yourself, then make sure that you back up all encrypted files. 
You can familiarize yourself with our product on the following reputable sites: 
https://id-ransomware.blogspot.com/2019/05/buran-ransomware.html 
https://www.acronis.com/en-us/blog/posts/meet-buran-new-delphi-ransomware-delivered-rig-exploit-kit 
https://www.bleepingcomputer.com/forums/t/698566/jamper-buran-ransomware-your-files-are-encrypted-txt-support 
In no case do we extort money from you, we only offer you our services for decrypting your files + you can get a bonus in the form of a free audit of your security system in order to protect yourself from such attacks and malicious software in the future. 
You can contact us by email: 
recovery_server@protonmail.com 
recowery1servers@cock.li 
Send us your personal ID: 
Your personal ID: 4D24C321-E3BC-0AA1-FBE9-9E507A76A9B0
Send a message to both mailboxes, since the letter cannot get into one of the mailboxes. 


Обновление от 17 ноября 2019:
Пост в Твиттере >>
Расширение (шаблон): .{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Записка: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
Email: stopcrypt@cock.email, decryptor@cock.email
Результаты анализов: VT + IA


Обновление от 18 ноября 2019:
Статья на сайте BC >>
Описано распространение нового варианта шифровальщика с помощью email-спама с вложенным файлом IQY (документ Excel Web Query). При открытии документа появится запрос на включение источника данных. Если пользователь нажмет кнопку "Включить", вредоносный exe-файл будет загружен и выполнен, что приведет к шифрованию файлов на компьютере.



=== 2020 ===

Новые варианты см. в статье Zeppelin Ransomware >>




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tweet
 ID Ransomware (ID as Vega/Jamper/Buran)
 Write-up, Topic of Support, Topic of Support
 * 
Added later:
Buran Ransomware (by Alexandre Mundo and Marc Rivero Lopez on Nov 05, 2019)
*
*
 - видеобзор образца 2.exe
- видеобзор образца 2.1.exe
 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie, Vitali Kremez
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *