Если вы не видите здесь изображений, то используйте VPN.

среда, 26 января 2022 г.

DeadBolt

DeadBolt Ransomware

(шифровальщик-вымогатель, 7zip-вымогатель) (первоисточник на русском)
Translation into English




Этот крипто-вымогатель шифрует данные пользователей на сетевых устройствах QNAP NAS, Asustor NAS с помощью алгоритма AES-128, а затем требует выкуп в 0.03 BTC (~$1100), чтобы вернуть файлы. При этом оригинальная html-страница NAS-устройств заменяется на подготовленую вымогателями. Оригинальное название: Deadbolt (DEADBOLT). Исполняемый файл: ELF файл. Распространители-вымогатели: DEADBOLT team. Написан на языке Go. Вымогательская кампания нацелена на NAS-устройства QNAP, работающие под управлением QTS 4.x. 
---
Исследователи из DrWeb сообщили о том, что файлы помещены в 7zip-архив со сложным паролем. Ранее этот факт никто не сообщал. Это может быть последующее изменение, например, в ответ на расшифровку от Emsisoft. 
---
Рекомендация для пострадавших от Deadbolt Ransomware от производителя ASUSTOR NAS >>
---
Обнаружения:
DrWeb -> Linux.Mirai.2565 / Linux.Encoder.129
BitDefender -> Trojan.Linux.Mirai.1 / Trojan.GenericKD.48157776
ESET-NOD32 -> A Variant Of Linux/Mirai.BC / Linux/Filecoder.DeadBolt.A
Kaspersky -> HEUR:Backdoor.Linux.Mirai.ba / HEUR:Trojan-Ransom.Linux.Agent.r
Microsoft -> Trojan:Win32/Mirai!ml / Ransom:Linux/Vigorf.A
Rising -> Backdoor.Mirai!8.E05B (CLOUD) / Ransom.Agent!8.6B7 (CLOUD)
Symantec -> Trojan.Gen.NPE / Linux.RansomDeadBolt
Tencent -> Backdoor.Linux.Mirai.wan / ***
TrendMicro -> Backdoor.Linux.MIRAI.USELVAS22 / Trojan.Linux.VIGORF.USELVAS22
---

© Генеалогия: другие вымогатели для 
QNAP устройств >> DeadBolt


Сайт "ID Ransomware" идентифицирует это как DeadBolt


Информация для идентификации

Активность этого крипто-вымогателя была в конце января 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .deadbolt



Записка с требованием выкупа называется: ALL YOUR FILES HAVE BEEN LOCKED BY DEADBOLT.html

DeadBolt Ransomware note

DeadBolt Ransomware note

На скриншотах видно, что сообщения могут немного отличаться. 

Содержание основного текста записки о выкупе:
⚠️
WARNING: YOUR FILES HAVE BEEN LOCKED BY DEADBOLT
❓ What happened?
All your files have been encrypted. This includes (but is not limited to) Photos, Documents and Spreadsheets.
❓ Why Me?
This is not a personal attack. You have been targeted because of the inadequate security provided by your vendor (QNAP).
❓ What now?
You can make a payment of (exactly) 0.030000 bitcoin to the following address:
bc1qd3hk7g8dnsyw7sxledlje2twz9vk3fex95prlr
Once the payment has been made we'll follow up with a transaction to the same address, this transaction will include the decryption key as part of the transaction details. [more information]
You can enter the decryption key below to start the decryption process and get access to all your files again.
important message for QNAP
🔑 Enter your decryption key here..

Перевод записки на русский язык:
ВНИМАНИЕ: ВАШИ ФАЙЛЫ БЫЛИ БЛОКИРОВАНЫ DEADBOLT
Что случилось?
Все ваши файлы зашифрованы. Это включает (но не ограничивает) фотографии, документы и электронные таблицы.
Почему я?
Это не личная атака. Вы стали мишенью из-за неадекватной безопасности, обеспечиваемой вашим поставщиком (QNAP).
Что теперь?
Вы можете сделать платеж в размере (ровно) 0.030000 биткойнов на  следующий адрес:
bc1qd3hk7g8dnsyw7sxledlje2twz9vk3fex95prlr
Как только платеж будет сделан, мы отправим транзакцию на тот же адрес, эта транзакция будет включать ключ дешифрования как часть сведений о транзакции. [информация]
Вы можете ввести ключ дешифрования ниже, чтобы начать процесс дешифрования и получить все ваши файлы.
важное сообщение для QNAP
🔑 Введите ваш ключ дешифрования сюда..


---
При нажатии на ссылку "[more information]" отобразится сообщение с примером ключа.  


Содержание сообщения по этой ссылке: 
🔑 Obtaining Decryption Key 🔓
Our decryption key delivery process is 100% transparent and honest.
The decryption key will be delivered to the bitcoin blockchain inside the OP_RETURN field. You can retrieve it by monitoring the address you made your payment to for new transactions containing the OP_RETURN field. An easy way to do this is using a public blockchain explorer like blockchain.com.
***
The decryption key always has an exact length of 32 characters.
Entering the wrong decryption key will not harm your files. This page will tell you if the entered key is invalid.
After the decryption has finished successfully, this page will disappear and you can access the management interface again. However, it is strongly advised to migrate all your data to a more secure platform.
ℹ️ If you struggle with this process, please contact an IT professional to help you.


Перевод сообщения на русский язык:
🔑 Получение ключа дешифрования 🔓
Наш процесс доставки ключа дешифрования на 100% прозрачен и честен.
Ключ дешифрования будет доставлен в блокчейн биткойна в поле OP_RETURN. Вы можете получить его, отслеживая адрес, на который вы заплатили, для новых транзакций, содержащих поле OP_RETURN. Самый простой способ сделать это — использовать общедоступный обозреватель блокчейна, такой как blockchain.com.
***
Ключ дешифрования всегда имеет точную длину 32 символа.
Ввод неправильного ключа дешифрования не повредит вашим файлам. Эта страница сообщит вам, если введенный ключ недействителен.
После успешного завершения расшифровки эта страница исчезнет, и вы снова сможете получить доступ к интерфейсу управления. Однако рекомендуется перенести все ваши данные на более безопасную платформу.
ℹ️ Если вы боретесь с этим процессом, обратитесь за помощью к ИТ-специалисту.

---
При нажатии на ссылку "important message for QNAP" отобразится сообщение от DeadBolt вымогателей, которые предлагают полную информацию о предполагаемой уязвимости нулевого дня, если QNAP заплатит им 5 биткойнов на сумму $184000. Они также готовы продать QNAP главный ключ дешифрования, который может расшифровать файлы для всех затронутых жертв, и информацию нулевого дня за 50 биткойнов (~$1,85 млн).


Содержание сообщения по ссылке: 
⚠️ Important Message for QNAP ⚠️
All your affected customers have been targeted using a zero-day vulnerability in your product. We offer you two options to mitigate this (and future) damage:
1) Make a bitcoin payment of 5 BTC to bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8:
You will receive all details about this zero-day vulnerability so it can be patched. A detailed report will be sent to security@qnap.com.
2) Make a bitcoin payment of 50 BTC to bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8:
You will receive a universal decryption master key (and instructions) that can be used to unlock all your clients their files. Additionally, we will also send you all details about the zero-day vulnerability to security@qnap.com.
Upon receipt of payment for either option, all information will be sent to you in a timely fashion.
There is no way to contact us.
These are our only offers.
Thanks for your consideration.
Greetings,
DEADBOLT team.


Перевод сообщения на русский язык:
⚠️ Важное сообщение для QNAP ⚠️
Все ваши затронутые клиенты атакованы с помощью уязвимости нулевого дня в вашем продукте. Мы предлагаем вам два варианта уменьшения этого (и будущего) ущерба:
1) Сделайте биткойн-платеж в размере 5 BTC на bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8:
Вы получите все подробности об этой уязвимости нулевого дня, чтобы ее можно было исправить. Подробный отчет будет отправлен на адрес security@qnap.com.
2) Сделайте платеж в биткойнах в размере 50 BTC на адрес bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8:
Вы получите универсальный мастер-ключ дешифрования (и инструкции), который можно использовать для разблокировки файлов всех ваших клиентов. Кроме того, мы отправим вам все подробности об уязвимости нулевого дня на адрес security@qnap.com.
После получения оплаты за любой вариант вся информация будет отправлена вам своевременно.
Связаться с нами невозможно.
Это наши единственные предложения.
Спасибо за внимание.
Привет,
Команда DEADBOLT.



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

DeadBolt использует следующую уязвимость удаленного выполнения кода для шифрования NAS-устройств. Компания QNAP принудительно обновила клиентские сетевые устройства хранения данных (NAS), установив прошивку с последними обновлениями безопасности для защиты от DeadBolt Ransomware. Группа реагирования на инциденты
, связанные с безопасностью продуктов QNAP, исследует верторы атак и предлагает свои варианты решения проблемы. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .ab4, .accdb, .accdc, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ait, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avhd, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkf, .bkp, .blend, .bpw, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfp, .cgm, .cib, .class, .cls, .cmt, .conf, .cpi, .cpp, .cr2, .craw, .crl, .crt, .crw, .csh, .csl, .csr, .csv, .dac, .dat, .db3, .db4, .db_journal, .dbc, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dev, .dgc, .disk, .djvu, .dng, .doc, .docm, .docx, .dot, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fhd, .fla, .flac, .flv, .fpx, .fxg, .gdb, .git, .gray, .grey, .gry, .hbk, .hdd, .hpp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iso, .jar, .java, .jpe, .jpeg, .jpg, .jrs, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m4v, .mail, .max, .mdb, .mdbx, .mdc, .mdf, .mef, .mfw, .mkv, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msi, .myd, .ndd, .nef, .nk2, .nop, .nrg, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nsn, .nwb, .nx2, .nxl, .nyf, .obj, .oda, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .ovf, .p12, .p7b, .p7c, .p7r, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pio, .piz, .plc, .pmf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps1, .psafe3, .psd, .pspimage, .pst, .ptx, .pvi, .pvk, .pyc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdb, .sdf, .sl3, .sldm, .sldx, .spc, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .thm, .tiff, .tlg, .txt, .vbk, .vbm, .vbox, .vcb, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmem, .vmfx, .vmsd, .vmx, .vmxf, .vob, .vsd, .vsdx, .vsv, .wallet, .wav, .wb2, .wdb, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xvd, .ycbcra, .yuv, .zip

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и пр.

Файлы, связанные с этим Ransomware:
ALL YOUR FILES HAVE BEEN LOCKED BY DEADBOLT.html - название файла с требованием выкупа;
elf-файл - вредоносный файл для QNAP NAS устройств; 
index.html - копия файла записки, заменяющая оригинальный файл QNAP.  
index.html_deadlock.txt
deadbolt.pid
sshd_pty

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
/home/httpd/index.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: bc1qd3hk7g8dnsyw7sxledlje2twz9vk3fex95prlr
bc1qcdve3qn83g44gmzrmqsces3rh2r6qm93j9jcul
bc1qwhz97zmtjhf44c336sx5gfk810rdkaa4ax3skd
bc1qj4hglg9vceql2qj3kad67vh8sgq83535mwvhhk
bc1qnju697uc83w5u3ykw7luujzupfyf82t6trlnd8
и другие для каждой жертвы. 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: a76ecd6356f7a71e524c74abf2adec09
SHA-1: 22e616aa3c3a512499968ffecd7d123fec6f5e96
SHA-256: 3e30a65e6504969c05b1bed32db2a2a592da110a7d2dbda9f064f13be5390d6c
Vhash: 9662668bfe8235a44603cac0b335f1aa
---
IOC: VT, HA, IA, TG, AR, VMR, JSB, MSED
MD5: 718ae69788dc752a8db46b0e43e42f13
SHA-1: 338c16a49899ee08b5284b9bb3b2b14d6e5bdfe3
SHA-256: 444e537f86cbeeea5a4fcf94c485cc9d286de0ccd91718362cecf415bf362bcf
Vhash: 9044b784e45b171094c39cd3b726f4e0


Степень распространённости: высокая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 февраля:
Файлы на самом деле не зашифрованы, а упакованы в 7zip-архив со сложным паролем. Мы не можем помочь восстановить/сгенерировать пароль для открытия этих архивов.


Обновление информации от 2 марта 2022:
Пример записки от вымогателей на устройствах Asustor. 


---

В итоге: 
Компания-производитель QNAP настоятельно рекомендует всем пользователям немедленно обновить операционные системы QTS или QuTS hero на своих устройствах NAS до последней версии. Обновление прошивки на скомпрометированном устройстве позволит встроенному приложению Malware Remover автоматически помещать в карантин примечание о выкупе DeadBolt, которое захватывает страницу входа.


Вариант от 13 июля 2022:
BTC: bc1q2we5ku2mpxwdtgqxztu7erg47r6vl4rgx38lxv



Новость от 14 ноября 2022:
Полиция Нидерландов смогла получить 150 ключей дешифрирования.
Проверьте возможность расшифровки файлов по Bitcoin-адресу вымогателей по ссылке >>



Пример полученного ключа дешифрования для одного из BTC-адресов. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 Write-up, Write-up, Topic of Support
 QNAP Product Security News 
Внимание! 
Расшифровка возможна, если получен ключ дешифрования. 
Этот безопасный инструмент упростит расшифровку. 
Скачать Emsisoft Decryptor по ссылке >>
---
Бизнес-пользователи могут получить помощь в Emsisoft. 
Ссылка для связи >>
Deadbolt - FULL GUIDE how to get your Data back >>
DeadBolt ransomware: nothing but NASty (by GROUP-IB) >>
 Thanks: 
 Lawrence Abrams, Michael Gillespie, Emsisoft
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

понедельник, 17 января 2022 г.

Trap

Trap Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English




Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует создать аакаунт в сети Tor для связи с вымогателями. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> Trap


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в середине января 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .trap

Записка с требованием выкупа называется: RESTORE.txt

Trap Ransomware note

Содержание записки о выкупе:
All your important files are encrypted!
Any attempts to recover your files using
third-party software will have fatal consequences, the files will be changed forever,
without the possibility of recovery.
There is only one way to get your files back: install the tor browser (https://www.torproject.org/download )
Important: Create a new email in the service hxxx://pflujznptk5lmuf6xwadfqy6nffykdvahfbljh7liljailjbxrgvhfid.onion/account/create for contact!
write to me at Wingate@onionmail.org
Send me your ID by email
Key Identifier: 
rz1hHG/5+KhWTqqOC5qQGm***

Перевод записки на русский язык:
Все ваши важные файлы зашифрованы!
Любые попытки восстановить ваши файлы с помощью сторонннго софта будут иметь фатальные последствия, файлы будут изменены навсегда, без возможности восстановления.
Есть только один способ вернуть ваши файлы: установить браузер Tor (https://www.torproject.org/download)
Важно: Создайте новый email в сервисе hxxx://pflujznptk5lmuf6xwadfqy6nffykdvahfbljh7liljailjbxrgvhfid.onion/account/create для контакта!
напишите мне на Wingate@onionmail.org
Отправьте мне ваш ID по email
Ключевой Идентификатор:
rz1hHG/5+KhWTqqOC5qQGm***







Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RESTORE.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Wingate@onionmail.org
BTC: - 
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: - 


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 11 января 2022 г.

H3llB0rn

H3llB0rn Ransomware

HellBorn Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English



Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: H3llB0rn. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> H3llB0rn (HellBorn)


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в первой половине января 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: *нет данных*.

Записка с требованием выкупа написана на экране блокировки: 




Содержание записки о выкупе:
You have been HACKED, and your hard drives have been encrypted with military grade encryption. The only way for you to get your data back is to pay for a decryption key. To do so, please follow the steps below and we can promise you that all of your data will be recovered.
Steps to recover your data:
1. Send *** USD worth of Bitcoin to the following bitcoin address:
***
2. Wait for an email containing your Decryption Key (you should get one within an hour of your purchase)
3. Submit the decryption key below to get your files back
Enter Decryption Key (PRESS ENTER TO SUBMIT):
You have 48 hours until your data is deleted!
NOTE: IF HARD DISK EJECTION OR ANY KIND OF EXTERNAL TAMPERING IS DETECTED,
YOUR BIOS WILL BE REFLASHED, EFFECTIVELY DESTROYING YOUR COMPUTER.

Перевод записки на русский язык:
Вы ВЗЛОМАНЫ, и ваши жесткие диски были зашифрованы шифрованием военного уровня. Единственный способ вернуть свои данные — заплатить за ключ дешифрования. Для этого выполните следующие действия, и мы гарантируем, что все ваши данные будут восстановлены.
Шаги для восстановления ваших данных:
1. Отправьте *** долларов в биткойнах на следующий биткойн-адрес:
***
2. Дождитесь письма с вашим ключом дешифрования (вы должны получить его в течение часа после покупки).
3. Отправьте приведенный ниже ключ дешифрования, чтобы вернуть свои файлы.
Введите ключ дешифрования (НАЖМИТЕ ENTER ДЛЯ ОТПРАВКИ):
У вас есть 48 часов, пока ваши данные не будут удалены!
ПРИМЕЧАНИЕ: ЕСЛИ ОБНАРУЖИТСЯ ИЗВЛЕЧЕНИЕ ЖЕСТКОГО ДИСКА ИЛИ ЛЮБОЙ ТИП ВНЕШНЕГО ВЗЛОМА, ВАШ БИОС БУДЕТ ПЕРЕПРОШИТ, ЭФФЕКТИВНО УНИЧТОЖИВ ВАШ КОМПЬЮТЕР.



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 





Технические детали + IOC

Распространяется на форуме CryptBB в Даркнете. Точный адрес намеренно не указываем. Чтобы не повторять рекламный текст на форуме, приводим здесь только скриншот с описанием вредоносных функций. 


Краткое описание: 
Исполняемый файл зашифрован. 
Перезаписывает MBR, блокирует загрузку Windows.
Загружает экран с требованием выкупа.
Повреждает ОС Windows 10, 8, 7 и XP для x64 и x86.
Не распространяется как RaaS, только покупка за $125. 
Разработчик предупреждает, чтобы не запускали на своем ПК. 

После покупки и доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: reductionreal@elude.in
Jabber: reduction@jabb3r.org
BTC: bc1qdja2vy8kmd0acv64ct985h57hnkvasxxm3hdn5
XMR: 889mPn1tFf8j9rQsY2ud4p9HNjkLC38vY2Ck2GQpxFQnC39UzatuxivcBzv5BqXNGQh9WTbSDyQUQAcqZYCBEx9CE7s9dM6
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: - 


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 
 Thanks: 
 RakeshKrish12
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *