Если вы не видите здесь изображений, то используйте VPN.

понедельник, 1 января 2018 г.

SYSDOWN

SYSDOWN Ransomware

(тест-шифровальщик)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: SYSDOWN или SysDown. На файле написано: SYSDOWN.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .SysDown или .SysDown.SysDown

Образец этого крипто-вымогателя был найден в конце декабря 2017 г. Ориентирован на англоязычных пользователей. 

Даже такой тестовый шифровальщик выглядит недоделанным. Я бы не стал его описывать, как и многие другие подобные недоделки, но Майкл Джиллеспи успел его добавить в ID-Ransomware. Приходится и такое идентифицировать, чтобы как-то отсеивать подобное от реальных шифровальщиков. 

Запиской с требованием выкупа выступает какой-то недоделанный экран блокировки:

Содержание записки о выкупе:
SYSDOWN
Pwned by the SYSDOWN virus!

Перевод записки на русский язык:
SYSDOWN
Захвачено вирусом SYSDOWN!



Технические детали

Не распространяется как вредонос. Сообщается, что создан для теста. Но при доработке другими лицами вполне может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Иначе в следующий раз можете пострадать от реального шифровальщика-вымогателя. 

Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SYSDOWN.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SYSDOWN)
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 30 декабря 2017 г.

Bitcoin666

Bitcoin666 Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: Bitcoin666, но в записке не указано. На файле написано: bitcoin666.exe. Номер версии: 2.1.0.0.

Обнаружения: 
DrWeb -> Trojan.Encoder.10598
BitDefender -> Gen:Variant.Ransom.HiddenTear.1

© Генеалогия: HiddenTear >> Bitcoin666

К зашифрованным файлам добавляется составное расширение: .bitcoin666@cock.li.word

Этимология названия:
Был такой сайт bitcoin666.org. Сейчас отключен. Видимо вымогатели позаимствовали это название.

Активность этого крипто-вымогателя, судя по выплатам, пришлась на январь-февраль 2018 г. Штамп времени 30 декабря 2017. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Recover Files.TXT

Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола:


Содержание записки о выкупе:
PC id: ***
ATTENTION!!! All your files are encrypted.
If you want to get your files back, you should pay me 0.3 BTC on the following address:
1CxCZjb5PVW1vLJHaoaY7RSDt7niyXrFc8
You have only 24 hours since you received that e-mail, after that price will be 0.4BTC.
To prove that we can bring back your files, attach a file between 1~5mb to be decoded.
After recieving your payment I'll send you a simple program and encryption key for it.
NoterTrying to recover your files with another program may result in a fatal loss of all your files. Only the original decoder and key can bring all your files back.
You can buy bitcoins here: https://localbitcoins.com
Here's a FAQ how to buy and send bitcoins (any language):https://localbitcoins.com/faq
(P.S. NO EXCEPTIONS WILL BE MADE. EVERYONE HAVE TO PAY.)
Write us: bitcoin666@cock.li or ap0calypse@india.com

___
Красным цветом выделены слова с ошибками. 

Перевод записки на русский язык:
ПК id: ***
ВНИМАНИЕ!!! Все ваши файлы зашифрованы.
Если вы хотите вернуть свои файлы, вы должны заплатить мне 0,3 BTC на следующий адрес:
1CxCZjb5PVW1vLJHaoaY7RSDt7niyXrFc8
У вас есть только 24 часа с момента получения этого email, после чего цена будет 0,4BTC.
Чтобы доказать, что мы можем вернуть ваши файлы, прикрепите файл размером 1~5 мб для декодирования.
После получения вашего платежа я пришлю вам простую программу и ключ шифрования.
Не пытайся восстановить ваши файлы с помощью другой программы может привести к фатальной потере всех ваших файлов. Только оригинальный декодер и ключ может вернуть все ваши файлы обратно.
Вы можете купить биткоины здесь: https://localbitcoins.com
Вот часто задаваемые вопросы о том, как купить и отправить биткоины (на любом языке): https://localbitcoins.com/faq
(P.S. НИКАКИХ ИСКЛЮЧЕНИЙ НЕ БУДЕТ. ВСЕ ДОЛЖНЫ ПЛАТИТЬ.)
Пишите нам: bitcoin666@cock.li или ap0calypse@india.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.bat, .cab, .dat, .dll, .log, .msi, .txt, .xml, .zip и другие. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Recover Files.TXT
bitcoin666.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bitcoin666@cock.li, ap0calypse@india.com
BTC: 1CxCZjb5PVW1vLJHaoaY7RSDt7niyXrFc8
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 29 декабря 2017 г.

MadBit

MadBit Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на конец декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа отображается на экране с заголовком "madbit encryptor: Hello, you are encrypted!" и не сохраняется в текстовый файл. 
MadBit Ransomware

Содержание записки о выкупе:
***!WARNING!***
***YOUR COMPUTER ARE INFECTED***
***ALL DATABASES, SITES AND USERS HOME FILES HAVE BEEN ENCRYPTED***
================================================
>>>You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.<<<
***After payment we will send you the decryption tool ,that will decrypt all your files.***
===FREE DECRYPTION AS GUARANTEE===
===Before paying you can send to us up to 1 files for free decryption===
Please note: that files must NOT contain valuable information and their total size must be less than 1Mb
=== Important information ===
YOUR COMPUTER UID : ***
COPY&SEND YOUR UID TO EMAIL'S : adaline.lowell.85@mail.ru
================================================
***!WARNING!***
===****rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit****===

Перевод записки на русский язык:
*** !ВНИМАНИЕ! ***
*** ВАШ КОМПЬЮТЕР ИНФИЦИРОВАН ***
*** ВСЕ БАЗЫ ДАННЫХ, САЙТЫ И ДОМАШНИЕ ФАЙЛЫ ПОЛЬЗОВАТЕЛЕЙ ЗАШИФРОВАНЫ ***
================================================
>>> Вам надо заплатить за дешифровку в биткоинах. Цена зависит от того, как быстро вы напишете нам <<<
*** После оплаты мы отправим вам инструмент дешифровки, который дешифрует все ваши файлы. ***
=== БЕСПЛАТНОЕ ДЕШИФРОВАНИЕ КАК ГАРАНТИЯ ===
=== Перед оплатой вы можете прислать нам 1 файл для бесплатной дешифровки ===
Заметьте: файлы не должны быть содержать ценную информацию и быть меньше 1 Мб
=== Важная информация ===
ВАШ UID КОМПЬЮТЕРА: ***
КОПИРУЙ И ОТПРАВЬ ВАШ UID НА EMAIL : adaline.lowell.85@mail.ru
================================================
*** !ВНИМАНИЕ! ***
===****rnadbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit***madbit****===



Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WindowsProcessor.exe (Cmd.Exe)

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: adaline.lowell.85@mail.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as MadBit)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 26 декабря 2017 г.

Rozlok

Rozlok Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью  AES-256 (режим СВС) + RSA-2048 для ключа, а затем требует написать на почту, чтобы уплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле может быть написано: enbild.exe или что попало. 

Обнаружения: 
DrWeb -> Trojan.Encoder.24132
BitDefender -> Generic.Ransom.Pulpy.02C56544
Malwarebytes -> Ransom.ShiOne

© Генеалогия: RSA2048Pro > Pulpy, Rozlok 
Ещё один украинский вымогатель, пытающийся писать по-русски. 

Этимология названия: 
Название взято из логина почты вымогателей. Позже было установлено родство с RSA2018Pro. 

К зашифрованным файлам добавляется расширение .aes

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instruction.txt

Содержание записки о выкупе:
Все ваши файлы и данные зашифрованны.Для дешифровки свяжитесь с нами : rozlok@protonmail.com .Чем дольше мы ждём-тем больше.Вам придёться заплатить.

Перевод записки на НОРМАЛЬНЫЙ русский язык:
Все ваши файлы и данные зашифрованы. Для дешифровки свяжитесь с нами: rozlok@protonmail.com . Чем дольше мы ждём, тем больше Вам придётся заплатить.

Translation into English:
All your files and data are encrypted. For decryption please contact us: rozlok@protonmail.com. The longer we wait, the more you will have to pay.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, заражённых сайтов автомобильной, спортивной и новогодней тематики, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Подробности шифрования:
Соль и есть ключ шифрования. Ключ и IV генерируются через RNG. Каждый файл шифруется своим ключом блоками по 1Мб. Далее записывается соль + ключ в зашифрованном после RSA-2048 виде в формате Base64 + длина. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы, exe-файлы и пр.

Подробности по пропуску файлов и папок см. в статье Pulpe Ransomware.
Всё, по всей видимости, аналогично. 

Файлы, связанные с этим Ransomware:
Instruction.txt
<random>.exe
enbild.exe

Файлы-источники (позже тоже были зашифрованы):
enbild.exe.aes
enbild.exe_pass_123.zip.aes

Расположения:
\Desktop\ -> Instruction.txt
\User_folders\ -> Instruction.txt
\ProgramData\ -> Instruction.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rozlok@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RSA2048Pro)
 Write-up, Topic of Support + later Topic
 🚫 В 1-й теме помощи ошибочно назван как Vortex. 
 Thanks: 
 Пострадавшим из темы поддержки
 Alex Svirid
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Tastylock CryptoMix

Tastylock CryptoMix Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: 1tasty.exe.

© Генеалогия: CryptoMix >> CryptoMix Revenge > Tastylock Cryptomix  

К зашифрованным файлам добавляется расширение .tastylock

Примеры зашифрованных файлов:
30A877A2136A7E24D444157B15AE5D3C.tastylock
5ABF69D81E581666A4EAB15C2080F86E.tastylock
067CAA001A4D3B12F9F317001D5B1BFE.tastylock

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
All you files an encrypted!
For decrypt write DECRYPT ID to t_tasty@aol.com
YOU DECRYPT-ID-%s number
!!!ATTENTION!!!
Do not change!
Do not move files!
Do not use other programs (they do not work)!
You can lose your files if you do not follow the instructions!

Перевод записки на русский язык:
Все твои файлы зашифрованы!
Для дешифровки напиши DECRYPT ID на t_tasty@aol.com
Твой DECRYPT-ID-%s number
!!!ВНИМАНИЕ!!!
Не менять!
Не перемещайте файлы!
Не используйте другие программы (они не работают)!
Ты можешь потерять твои файлы, если ты не следуешь инструкциям!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Выполняет деструктивные команды:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
1tasty.exe
<random>.exe
BC8E11C52E.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
%ALLUSERSPROFILE%\BC8E11C52E.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:  t_tasty@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Это 900-й пост в блоге!!!

Pulpy

Pulpy Ransomware

Aliases: ShiOne, Rasoon

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные на сайтах с помощью AES-256 (режим СВС) + RSA-2048 для ключа, а затем требует написать на email вымогателей, чтобы уплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле может быть написано: 1d Ptin.exe или enbild.exe. 

Обнаружения: 
DrWeb -> Trojan.Encoder.24132, Trojan.Encoder.24131
BitDefender -> Generic.Ransom.Pulpy.02C56544
Malwarebytes -> Ransom.ShiOne

© Генеалогия: RSA2048Pro > Pulpy, Rozlok

Этимология названия: 

Название взято из логина почты вымогателей. Позже было установлено родство с RSA2018Pro. 

К зашифрованным файлам добавляется расширение .AES

Активность этого крипто-вымогателя пришлась на вторую половину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instruction.txt


Содержание записки о выкупе:
Hi, all your files have been encrypted. You can decipher if you write to me on the mail:pulpy2@cock.li  Otherwise, all your files will be deleted within 2 days without any problems!

Перевод записки на русский язык:
Привет, все ваши файлы зашифрованы. Вы можете расшифровать, если напишите мне на почту: pulpy2@cock.li Иначе все ваши файлы удалятся через 2 дня без проблем!

Другой вариант записки о выкупе был немного короче:
Hi all your files are encrypted, to decrypt all your files write to us on the mail: pulpy@protonmail.ch

Перевод другой записки на русский язык:
Привет все ваши файлы зашифрованы, для дешифровки всех ваших файлов пишите нам на email: pulpy@protonmail.ch



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, заражённых сайтов автомобильной, спортивной и новогодней тематики, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Также используются названия: ShiOne, Pulpy, Rasoon. Согласно сообщению и статье

Подробности шифрования:
Соль и есть ключ шифрования. Ключ и IV генерируются через RNG. Каждый файл шифруется своим ключом блоками по 1Мб. Далее записывается соль + ключ в зашифрованном после RSA-2048 виде в формате Base64 + длина. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы, exe-файлы и пр.

При поиске пропускаются папки, в имени которых есть: 
Program Files
ProgramData
C:\Users\All Users\Microsoft
AppData
C:\Drivers
Windows
WINDOWS
windows
\Desctop  - с ошибкой вместо Desktop, поэтому на реальном Рабочем столе файлы будут зашифрованы

При поиске пропускаются также файлы с расширениями: 
.aes, .ani, .CAB, .cpl, .cur, .dat, .deskthemepack, .diagcab, .diagpkg, .dmp, .drv, .hlp, .icl, .ico, .icons, .lnk, .mod, .msp, .msstyles, .ocx, .rtp, .settingcontent-ms, .sys, .SYS, .themepack и файлы bootmgrBOOTNXT

Не шифрует файлы, которые находятся в следующих директориях:
bootmgr

BOOTNXT
Program Files
Windows
ProgramData
C:\Users\All Users\Microsoft
C:\Users\Default\AppData\Roaming\Microsoft
AppData
AppData\Local\Packages

Не шифруются файлы с расширениями: 
.accdb, .b2, .db, .dbf, .mdb, .mdf, .sdf, .sis и размером более 10 Мб.

Файлы, связанные с этим Ransomware:
Instruction.txt
1d Ptin.exe
enbild.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://files.mykoleso.com/Infected With Malware
xxxx://files.mykoleso.com/431f30824ef734dcd8d2dbbcddbbeb80.jpg.{EXE}
xxxx://gooool.org/fnu 
Email: pulpy2@cock.li 
pulpy@cock.li
pulpy@protonmail.ch
См. ниже результаты анализов.

Закрытый статичный RSA-ключ и текст записки:

Результаты анализов:
VirusBay ссылка >>
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
VirusTotal анализ на сайт и файл >>
IntezerAnalyze >>
ANY.RUN анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 26 января 2018 / Update on January 26, 2018:
Записка / Ransom-note: Instruction.txt
Расширение: .aes
Email: dexp@cock.li
Содержание записки / Contents of note: 
Hi, All your files are encrypted. I can only help you, my mail: - Your personal number (send it to me): dexp@cock.li

Обновление от 30 января 2018 / Update on January 30, 2018:
Записка / Ransom-note: Instruction.txt
Расширение: .aes
Email: diesel@nuke.africa
Содержание записки / Contents of note: 
Hello, all your files are irrevocably encrypted, to restore the data write to me on the mail: diesel@nuke.africa send your personal ID: ***


Вариант, обнаруженный в 2023 году:
Доп. название: SULINFORMATICA Ransomware  
Расширение: .aes
Записка: Instruction.txt



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as RSA2048Pro)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author), Alex Svirid
 (victim in the topics of support)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *