Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 6 марта 2016 г.

KeRanger

KeRanger Ransomware

(шифровальщик-вымогатель для Mac OS X)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Linux.Encoder KeRanger 

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_FOR_DECRYPT.txt

Содержание записки о выкупе:
Your computer has been locked and all your files has been encrypted with 2048-bit RSA encryption.
Instruction for decrypt:
1. Go to https://fiwf4kwysm4dpw5l.onion.to ( IF NOT WORKING JUST DOWNLOAD TOR BROWSER AND OPEN THIS LINK: http://fiwf4kwysm4dpw5l.onion )
2. Use 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN as your ID for authentication
3. Pay 1 BTC (~407.25$) for decryption pack using bitcoins (wallet is your ID for authentication - 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN)
4. Download decrypt pack and run
---> Also at https://fiwf4kwysm4dpw5l.onion.to you can decrypt 1 file for FREE to make sure decryption is working.
Also we have ticket system inside, so if you have any questions - you are welcome.
We will answer only if you able to pay and you have serious question.
IMPORTANT: WE ARE ACCEPT ONLY(!!) BITCOINS 
HOW TO BUY BITCOINS:
https://localbitcoins.com/guides/how-to-buy-bitcoins
https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)

Перевод записки на русский язык:
Ваш компьютер заблокирован и все ваши файлы зашифрованы с шифрованием RSA 2048 бит.
Инструкция для расшифровки:
1. Перейдите на страницу https://fiwf4kwysm4dpw5l.onion.to (ЕСЛИ НЕ РАБОТАЕТ, ТО СКАЧАЙТЕ TOR-БРАУЗЕР И ОТКРЫТЬ ЭТУ ССЫЛКУ: http://fiwf4kwysm4dpw5l.onion)
2. Используйте 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN как ваш ID для аутентификации
3. Заплатите 1 BTC (~407.25 $) за пакет дешифрования, используя биткоины (кошелёк - ваш ID для аутентификации - 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN)
4. Загрузите пакет дешифрования и запустите
---> Также на https://fiwf4kwysm4dpw5l.onion.to вы можете дешифровать 1 файл БЕСПЛАТНО, чтобы убедиться, что дешифрование работает.
Также у нас есть система тикетов внутри, поэтому, если у вас есть какие-то вопросы, пожалуйста.
Мы ответим только в том случае, если вы сможете заплатить, и у вас есть серьезный вопрос.
ВАЖНО: МЫ ПРИНИМАЕМ ТОЛЬКО (!!) БИТКОИНЫ 
КАК КУПИТЬ БИТКОИНЫ:
https://localbitcoins.com/guides/how-to-buy-bitcoins
https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)



Технические детали

Распространялся с помощью зараженных инсталляторов ПО Transmission для Mac OS X, которое представляет из себя свободно распространяемый клиент BitTorrent. 

После доработки может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, других перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Вредоносные установщики были сгенерированы и подписаны утром 4 марта. Исполняемые файлы KeRanger были подписаны цифровой подписью с использованием действительного сертификата, выпущенного Apple для компании-разработчика приложений для Mac, поэтому он смог обойти защиту Apple Gatekeeper. Разработчиком, указанным в этом сертификате, является турецкая компания с ID  Z7276PX673. 
➤ Apple уже отозвала скомпрометированный сертификат и обновила сигнатуры антивирусной защиты XProtect, а веб-сайт transmissionbt.com удалил вредоносные инсталляторы со своего веб-сайта и написала предупреждение для пользователей. 

➤ Palo Alto Networks, первой описавшая этот вредонос, также обновила фильтрацию URL и Threat Prevention, чтобы остановить атаку KeRanger на системы пользователей Mac OS X.

 В инсталляторах, зараженных KeRanger, имеется дополнительный файл General.rtf в каталоге Transmission.app/Contents/Resources. Он использует значок, который выглядит как обычный RTF-файл, но на самом деле является исполняемым файлом формата Mach-O, упакованным с UPX 3.91. 
Когда пользователи нажимают на эти зараженные приложения, их исполняемый пакет Transmission.app/Content/MacOS/Transmission копирует этот файл General.rtf в ~ / Library / kernel_service и выполняет "kernel_service" перед появлением любого пользовательского интерфейса.

 Если пользователь установил заражённые приложения, то встроенный исполняемый файл запускается в системе. Затем KeRanger ждет 3 дня, прежде чем подключиться к серверам управления (C&C) через сеть анонимайзеров Tor. 
За это время он каждые 40 минут уведомляет свой сервер C&C о том, что он жив. В ответ он получает сообщение, закодированное в base64, содержащее ключ шифрования и текстовый файл README_FOR_DECRYPT.txt, который содержит инструкции для оплаты. Вымогатели предлагают дешифровать один файл бесплатно, чтобы убедиться, что дешифрование возможно.
После пробуждения KeRanger свяжется с одним из трёх C&C-серверов в сети TOR.

 Затем KeRanger начинает шифрование определённых типов файлов документов и данных. Похоже, что KeRanger также пытается зашифровать файлы резервного копирования Time Machine, чтобы жертвы не могли восстановить свои резервные данные. 

➤ После завершения шифрования KeRanger требует, чтобы жертвы выплачивали 1 биткоин (около 400 долларов США на 6 марта 2016 г.) на биткоин-адрес вымогателей, чтобы получить возможность восстановить свои файлы. Ключ для дешифрования хранится на серверах злоумышленников.

➤  KeRanger нацелен не только на папки пользователя /Usersно и на папки с файлами /Volumes, хранящиеся на внешних жестких дисках и серверах. 

➤ KeRanger, видимо, находится в разработке. 

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3g2, .3gp, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .asx, .avi, .back, .backup, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .cdb, .cdf, .cdr, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .class, .cls, .cmt, .cnv, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db3, .dbf, .dbr, .dbs, .dc2, .dcr, .dcs, .dcx, .ddd, .ddoc, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .ebd, .edb, .eml, .eps, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fm, .fp7, .fpx, .fxg, .gdb, .gray, .grey, .grw, .gry, .gzip, .hbk, .hpp, .ibd, .idx, .iif, .indd, .java, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key, .laccdb, .lua, .m4v, .maf, .mam, .maq, .mar, .maw, .max, .mdb, .mdc, .mde, .mdf, .mdt, .mef, .mfw, .mmw, .mos, .mov, .mp3, .mp4, .mpg, .mpp, .mrw, .mso, .myd, .ndd, .nef, .nk2, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .one, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pages, .pas, .pat, .pbo, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pip, .pl, .plc, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .pub, .puz, .py, .qba, .qbb, .qbm, .qbw, .qbx, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rwz, .sas7bdat, .say, .sd0, .sda, .sdf, .snp, .sparsebundle, .sql, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tib, .tlg, .txt, .vob, .vsd, .vsx, .vtx, .wav, .wb2, .wbk, .wdb, .wll, .wmv, .wpd, .wps, .x11, .x3f, .xla, .xlam, .xlb, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xpp, .xsn, .yuv, .zip (311 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Зашифрованные файлы

Файлы, связанные с этим Ransomware:
README_FOR_DECRYPT.txt
General.rtf
/Library/

Расположения:
~/Desktop/README_FOR_DECRYPT.txt
~/Library/.kernel_complete
~/Library/.kernel_pid
~/Library/.kernel_time
~/Applications/Transmission.app/Contents/Resources/General.rtf
/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://fiwf4kwysm4dpw5l.onion.to - сайт оплаты
xxxxs://fiwf4kwysm4dpw5l.onion - сайт оплаты
lclebb6kvohlkcml.onion.link - 1-й C2
lclebb6kvohlkcml.onion.nu 1-й C2
bmacyzmea723xyaz.onion.link - 2-й C2
bmacyzmea723xyaz.onion.nu 2-й C2
nejdtkok7oz5kjoc.onion.link - 3-й C2
nejdtkok7oz5kjoc.onion.nu 3-й C2
BTC-1: 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN
BTC-2: 1KGusS7xB9hnqZQdCZ1G8Tno16RfTS95ey
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>  VT>>  VT>>  VT>>  VT>>  VT>>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Linux.Encoder.1 
Linux.Encoder.1
Linux.Encoder.3
Linux.Encoder.4 KeRanger



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter, Topic of Support
 ID Ransomware (ID as KeRanger)
 Write-up, Write-up, Write-up, Write-up, Write-up
 *
 Thanks: 
 PaloAlto
 Lawrence Abrams, Michael Gillespie
 Bitdefender LABS, ESET
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 3 марта 2016 г.

Защита от шифровальщиков

10 способов защиты от шифровальщиков-вымогателей

(первоисточник)


Защита от Ransomware в режиме реального времени

10 правильных способов защиты от крипто-вымогателей


БЭКАП 
1. Регулярное резервное копирование ценных данных по методу 3-2-1.
2. Корректировка резервных копий согласно времени их создания.

ЗАЩИТА
3. Использование коммерческой ежегодно продлеваемой антивирусной программы.
4. Изучение работы и настройка в ней автоматического резервного копирования.

ПОЧТА
5. Использование функции Антиспам в почтовой программе или почтовом сервере.
6. Изучение информации по основным угрозам, исходящим от электронной почты.

СЕМЬЯ
7. Изучение и понимание рисков, связанных с использованием сети Интернет.
8. Изучение информации по шифровальщикам и другим блокировщикам компьютера. 

ВЫКУП
9. При столкновении с программами-вымогателями не паникуйте прежде времени.
10. Шифрование с целью выкупа — это преступление, его можно и нужно пресечь.

Не самая полезная привычка пользователей ПК — это накопление информации и различного мусора. Фотографии хранятся гигабайтами, видео терабайтами. Вместо того, чтобы выбрать лучшие и сохранять их на отдельном внешнем накопителе, который лежит большее время на полке в шкафу и не доступен для вирусов. Нужно соблюдать порядок на своём ПК — не разбрасывать информацию и не хранить её гигабайтами или терабайтами, тогда и атака вымогателей будет не страшна. 

А теперь более подробно по каждому пункту... 



БЭКАП 🔛
1. Регулярное резервное копирование ценных данных по методу 3-2-1.
Правило "3-2-1" заключается в следующем: создать 3 резервные копии на 2-х различных носителях и 1-м хранимом в отдельном месте (вне офиса, в облаке и пр.). Так можно лишить вымогателей козырной карты и вернуть свои файлы с минимальными потерями (переустановка системы за небольшую денежную трату на услуги айтишника). Это гораздо дешевле суммы, что хотят вымогатели. Смотрите в конвертере эквиваленты 1 BTC. 

2. Корректировка резервных копий согласно времени их создания.
Корректировка заключается в следующем: сначала надо упорядочить файлы по категориям (документы, фотографии, музыка, видео, другие важные файлы), а потом поддерживать их по временным датам (важное событие, месяц, год и пр.) и проверять целостность. Упорядоченная информация гораздо ценнее "творческого беспорядка", на восстановление которого бесполезно и бессмысленно тратить время. 

Где хранить копии? Что лучше: внешний диск или облако? 
Чтобы резервные копии на внешнем жёстком диске не пострадали, не подключайте этот диск, когда выходите в Интернет, что-то качаете и ставите. Будьте также осторожны с облачными сервисами: DropBox, OneDrive, Яндекс.Диск и другими — отключите автоматическую синхронизацию, входите только по несохраняемому паролю. Иначе хранимые там файлы тоже будут зашифрованы. 

ЗАЩИТА  🏥
3. Использование коммерческой ежегодно продлеваемой антивирусной программы.
Давно пора всем отказаться от использования Free-антивирусов, как поставщиков ложного чувства защищённости. Но антивирусные компании, желая привлечь больше пользователей на свою сторону ради высокого рейтинга, продолжают проталкивать их всеми способами. Коммерческие продукты имеют более актуальный защитный функционал, способный защитить от большинства шифровальщиков. 

4. Изучение работы и настройка в ней автоматического резервного копирования. 
Это ещё один аргумент в пользу коммерческой ежегодно продлеваемой антивирусной программы, у которой имеется функционал автоматического резервного копирования (бэкапа). Он также может называться защитой данных от повреждения и удаления. Вопреки убеждениям пользователей, настройка этого функционала заключается только в выборе нескольких опций и места хранения файлов.

Где её взять? Хотите попробовать, прежде, чем купить? 
Скачайте защиту на 30 дней. Выберите, что хотите на другом моем сайте
Я рекомендую Norton Security или Norton 360, вы будете под защитой одного из лучших антивирусных решений с мировым именем. В Norton 360 есть функционал бэкапа и файлы будут под защитой и их резервные копии защищены и на своём месте. 

ПОЧТА  📧
5. Использование функции Антиспам в почтовой программе или почтовом сервере.
Сегодня функция Антиспам имеется у большинства почтовых серверов (yandex.ru, mail.ru и пр.), которая, как и антивирусная проверка вложений, предоставляются бесплатно. Но пользователь может ему немного помочь и самостоятельно отмечать как спам подозрительные и незапрошенные им самим входящие сообщения. Почтовые программы имеют свои настройки, разобраться с которыми нетрудно. 

6. Изучение информации по основным угрозам, исходящим от электронной почты.
Многие коммерческие антивирусные программы имеют функционал защиты электронной почты, это еще один плюс в их пользу. Но без элементарных знаний об email-угрозах, все их усилия сведутся к нулю, если пользователь, например, откроет хоть одно вредоносное email-вложение, без его предварительного сохранения в специально отведённой для этого дела папке и без проверки его антивирусом.

СЕМЬЯ  👪
7. Изучение и понимание рисков, связанных с использованием сети Интернет.
Антивирусные и ИБ-компании регулярно публикуют аналитические обзоры и исследования вредоносных программ и методов, с помощью которых совершаются онлайн-преступления: распространение вредоносов и спама, хакерские атаки и взлом, фишинг и хищение данных, шифрование информации, социальные преступления, перенесённые в Интернет и пр. Читайте ресурсы по информационной безопасности. 

8. Изучение информации по шифровальщикам и другим блокировщикам компьютера. 
Для этого дела прекрасно подойдёт этот блог, в котором регулярно публикуется новейшая информация и обновления по различным шифровальщикам-вымогателям, блокировщикам-вымогателям, вообще не использующим шифрование, а также по фейк-шифровальщикам, которые не шифруют файлы, но используют похожие методы запугивания своих жертв, чтобы заставить их поскорее выплатить выкуп.

ВЫКУП  💰
9. При столкновении с программами-вымогателями не паникуйте прежде времени.
Пострадавшим не нужно паниковать, потому что, как сказано выше, не все вымогатели шифруют файлы, иногда используется статический ключ шифрования, не у всех алгоритм шифрования безупречен, зачастую можно найти ошибки, позволяющие специалистам по шифровальщикам создать программу для дешифровки / разблокировке файлов. 

10. Шифрование с целью выкупа — это преступление, его можно и нужно пресечь. 
Важно знать, что вымогательство с требованием выкупа за заблокированные (зашифрованные) файлы является уголовно наказуемым преступлением и разбираться с преступниками должны правоохранительные органы. По всем фактам такого вымогательства, произошедшего с российскими гражданами или предприятиями, нужно НЕМЕДЛЕННО обращаться в местное Управление "К" МВД России или территориальный орган МВД России. 



По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее о заявлении и его содержании >>

ВНИМАНИЕ! Вам не надо никуда идти в поисках информации по атаковавшему вас шифровальщику, т.к. она есть на этом сайте. Если затрудняетесь найти, напишите мне в форму обратной связи (см. ниже статьи) и получите ответ. 

См. также статьи 
"Лучшие базовые методы профилактики и защиты"
"Комплекс мероприятий для защиты от Ransomware"
"Бесплатные программы и майнинг криптовалюты".

© Amigo-A (Andrew Ivanov): 10 способов защиты от шифровальщиков-вымогателей (первоисточник). 
© Amigo-A (Andrew Ivanov): All blog articles.
© Amigo-A (Andrew Ivanov): Все статьи блога.

Защита от вирусов-шифровальщиков
Защита от троянов-шифровальщиков
Защита от шифровальщиков-вымогателей

Статья о фейках

Фейк-шифровальщики

Fake encryptors

(первоисточник)


   Среди разработчиков и распространителей вредоносного ПО наметилась тенденция "косить" под шифровальщиков-вымогателей (криптовымогателей), выпуская вредонос, который не производит никакого шифрования, но портит, удаляет, прячет или зипует файлы пользователей, а затем требует выкуп за "дешифровку". Изучив подробно данный вопрос, я назвал их © фейк-шифровальщиками (фальшивыми шифровальщиками, лже-шифровальщиками; англ. fake encryptor). На момент публикации данной статьи этого слова и этой категории вредоносного ПО ещё не существовало. 

  Среди фейк-шифровальщиков есть откровенные вредители, которые просто удаляют файлы без какой-либо заботы о их возвращении, или помещают файлы в специально созданный архив со сложным паролем, или портят содержимое файлов, которые уже нельзя будет восстановить ни после дешифрования, ни после уплаты выкупа. Кроме того, некоторые разработчики шифровальщиков, несмотря на профессионально выполненные действия по инфицированию и шифрованию, от версии к версии не могут реализовать работающий декриптор, потому уплатившие выкуп жертвы не могут дешифровать файлы с его помощью. 

  Есть и такие вымогатели, которые имитируют работу ранее выпущенных шифровальщиков, производя различные показные и деструктивные действия, среди которых:
использование чужого названия, внешнего вида, в том числе полное копирование ряда основных признаков;
- использование чужих записок о выкупе или скринлоков с частичной заменой содержимого;
- использование чужих расширений для зашифрованных файлов или двойного шифрования;
- использование другого незаявленного в записках шифрования, имеющее целью запутать;
- подражание работе другого шифровальщика с использованием описанных выше действий (имитация).

Так что это за вымогатели, о которых идёт речь в этой статье? 

Вот далеко не полный их список, который я буду пополнять.
На данный момент в списке 55 штуки, но в блоге может быть и больше.

Adonis Ransomware
AnonPop Ransomware
Bart 1.0 Ransomware
Blooper Ransomware
CainXPii Ransomware
Cancer Ransomware
CIA Special Agent 767 Ransomware
CryptConsole 1.0 Ransomware
CryptoDark Ransomware
CryptoFinancial Ransomware
CryptoHost Ransomware
Cryptorium Ransomware
CTB-Faker Ransomware
CVLocker Ransomware
Cyber SpLiTTer Vbs Ransomware 
CYR-Locker Ransomware
Czech Anon Ransomware
D2+D Ransomware
DarkLocker (Monument) Ransomware
DeadSec-Crypto Ransomware
Donald Trump Ransomware
DotZeroCMD Ransomware
Eternal Ransomware
Fake Cerber Ransomware
Fake WannaCry Ransomware
FCP Ransomware
Halloware Ransomware
Haze Ransomware
Hells Ransomware
Hitler Ransomware
IsraBye Ransomware
Kovter Ransomware
Locker-Pay Ransomware
M4N1F3STO Ransomware 
Mancros+AI4939 Ransomware
Meteoritan Ransomware
Mr.Locker Ransomware
Nhtnwcuf Ransomware
Ocelot Locker Ransomware
Ordinypt (HSDFSDCrypt) Ransomware
Petya+ Ransomware
Pirateware Ransomware
Ransom Prank Ransomware
RarVault Ransomware 
RenLocker Ransomware 
SkyName Ransomware
SmartRansom (Chinese) Ransomware
SpongeBob Ransomware
StrawHat Ransomware
SureRansom Ransomware
TowerWeb Ransonware
TPS1.0 Ransomware
Trick-Or-Treat Ransomware
Widia (WidiaLocker) Ransomware
xXLecXx Ransomware

Вымогатели, вне зависимости от того, шифруют ли они файлы, или только пишут, что шифруют, запугивая своих жертв, требуют от них каких-то действий, или самоназываются открытыми проектами для образования, всё равно являются вымогателями и относиться к ним необходимо со всей строгостью местных законов. Если причинён вред, потеряна информация, в том числе личная, то это только усугубляет вину в причинении вреда. 

  Помните!!! В вымогательстве нет ни капли благородства, как бы не красовались злоумышленники, малюя записки о выкупе и скринлоки в html-, bmp-, jpg-, png-форматах, как бы не оправдывали в записках свои действия. Вымогатели всегда оставляют за собой право — возвращать или не возвращать файлы после получения выкупа. Однозначно, никогда не следует соглашаться на уплату выкупа, каким бы он не был. Легко можно потерять не только свои файлы, но и деньги. Любая выплаченная вымогателям "копейка" стимулирует их на новые акции по заражению ПК и новому вымоганию выкупа. Наглость вымогателей, как и сумма требуемого ими выкупа, раз от разу будет только расти. 

© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При цитировании ссылка на блог и/или автора обязательна. 

© Amigo-A (Andrew Ivanov): Фейк-шифровальщики (первоисточник). 
© Amigo-A (Andrew Ivanov): Все статьи блога.
© Amigo-A (Andrew Ivanov): All blog articles.

Онлайн-заявление

Онлайн-заявление 

в Управление "К" МВД 

России, Беларуси, Казахстана, Украины


Шифрование или блокировка данных с целью выкупа — это преступление и его необходимо безотлагательно пресечь.

По всем фактам такого вымогательства, произошедшего с гражданами или предприятиями, нужно НЕМЕДЛЕННО обращаться в местное Управление "К" МВД вашей страны или в Департамент Киберполиции, или в территориальный орган МВД вашей страны.

Раз вы читаете это сообщение, значит у вас есть возможность перейти по ссылке на сайт МВД и подать онлайн-заявление. Кликните по флажку своей страны и перейдите на страницу с подробной информацией. 
Для граждан России    Для граждан Беларуси    для граждан Казахстана    для граждан Украины

Действия кибер-вымогателей подпадают под следующие статьи Уголовного Кодекса. 

Статьи УК Российской Федерации: 
Статья 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
Статья 163. "Вымогательство"
Статья 165. "Причинение имущественного ущерба путем обмана или злоупотребления доверием"
Статья 272. "Неправомерный доступ к компьютерной информации" 
Статья 273. "Создание, использование и распространение вредоносных компьютерных программ"

Статьи УК Республики Беларусь: 
Статья 209 (ч.3, 4). Мошенничество.  "Мошенничество, совершенное в крупном размере" и "Мошенничество, совершенное организованной группой либо в особо крупном размере"
Статья 212 (ч.1,2,3,4). Хищение путем использования компьютерной техники
Статья 349 (ч.1, 2). Несанкционированный доступ к компьютерной информации
Статья 350 (ч.1, 2). Модификация компьютерной информации
Статья 351 (ч.1, 2). Компьютерный саботаж ч.1 и 2. "Умышленные уничтожение, блокирование, приведение в непригодное состояние компьютерной информации или программы, либо вывод из строя компьютерного оборудования, либо разрушение компьютерной системы, сети или машинного носителя (компьютерный саботаж)"
Статья 352. Неправомерное завладение компьютерной информацией
Статья 353. Изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети
Статья 354  (ч.1,2). Разработка, использование либо распространение вредоносных программ
Статья 355 (ч.1,2,3). Нарушение правил эксплуатации компьютерной системы или сети

Статьи УК Республики Казахстан:
Статья 190. Мошенничество
Статья 194. Вымогательство
Статья 205. Неправомерный доступ к информации, в информационную систему или сеть телекоммуникаций
Статья 206. Неправомерные уничтожение или модификация информации
Статья 207. Нарушение работы информационной системы или сетей телекоммуникаций
Статья 208. Неправомерное завладение информацией
Статья 210. Создание, использование или распространение вредоносных компьютерных программ и программных продуктов
Статья 211. Неправомерное распространение электронных информационных ресурсов ограниченного доступа
Статья 212. Предоставление услуг для размещения интернет-ресурсов, преследующих противоправные цели

Статьи УК Республики Украина:
Статья 189. Вымогательство. п.4. Вымогательство, причинившее имущественный ущерб в особо крупных размерах, или совершенное организованной группой.
Статья 190. Мошенничество. п.3. Мошенничество, совершенное в крупных размерах, или путем незаконных операций с использованием электронно-вычислительной техники. 1-й пример ареста мошенников >> и 2-й пример >>
Статья 361. Несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи.
Статья 361-1. Создание в целях использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт.
Статья 361-2. Несанкционированные сбыт или распространение информации с ограниченным доступом, хранящейся в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или на носителях такой информации.
Статья 362. Несанкционированные действия с информацией, которая обрабатывается в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или хранится на носителях такой информации, совершенные лицом, имеющим право доступа к ней.
Статья 363. Нарушение правил эксплуатации электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи либо порядка или правил защиты информации, которая в них обрабатывается.
Статья 363-1. Воспрепятствование работе электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи путем массового распространения сообщений электросвязи.

Какую информацию нужно заранее подготовить?

В общем случае при подаче заявление могут понадобиться подробные данные об инциденте. Желательно представить следующую информацию. 

- Укажите вашу личную информацию (ФИО, адрес, телефон).
- При подаче заявления за другое лицо (адрес, контакты) получите от него разрешение. 
- Укажите дату и время, когда против вас или другого лица было совершено преступление.
- Оцените примерный причинённый ущерб с указанием типа и размера повреждённых данных. 
- Укажите примеры пожеланий (на выбор): расшифровать данные, разблокировать, восстановить.
- Укажите какие действия привели к заражению, блокировке ПК или шифрованию файлов?
- Укажите, связывались ли вы с вымогателями по email, телефону, в чате, в мессенджере и т.п.
- Опишите как выглядит экран блокировщика или шифровальщика (фото, скриншот, текст).
- Запишите и укажите контакты вымогателей, если не можете сделать фото или скриншот.
- Запишите и укажите bitcoin-адреса и другие счета вымогателей, при той же причине.
- Платили ли вы выкуп вымогателям? Куда, когда и сколько? Сделайте фото или скриншот.

Если по каким-то причинам вы не смогли сделать фото, скриншоты или собрать нужную информацию, то можете воспользоваться описаниями крипто-вымогателей (шифровальщиков) с этого сайта. 

Для того, чтобы вам было легче опознать атаковавший вас шифровальщик, здесь приводятся скриншоты и тексты записок о выкупе. 
Укажите в своём заявлении ссылки на описание, если подаёте его в электронном виде (скопируйте адрес ссылки). 

Если собрались подать заявление в отделении полиции, то запишите вручную хотя бы так: 
"Я нашел описание на сайте Шифровальщики-вымогатели" ... и запишите название опознанного вами Ransomware из моего обширного списка


★★★

👮 Если вы стали жертвой преступления в Европе, вам нужно обратиться в местную или национальную полицию. При необходимости они свяжутся с Европолом или Интерполом.

👮 If you are the victim of a crime in Europe, you need to contact your local or national police. The authorities will contact Europol or Interpol if required. 


👮 Are recommended that anyone citizen of the USA who is affected by this Ransomware file an official complaint with the FBI by going to this URL


★★★

Могу также вам предложить: 
Образцы заявлений от Dr.Web >>
Обратиться за помощью в Group-IB >>

Также можете прочесть мои статьи: 
Не плати выкуп! Шифровальщики — чума Интернета
10 способов защиты от шифровальщиков-вымогателей
Первые шаги после атаки шифровальщика. Руководство для пострадавшего от вымогателей
FAQ (ЧаВо) по Ransomware. ВСЁ, ЧТО НУЖНО ЗНАТЬ!!!
Глоссарий сайта ID-Ransomware.RU (Сборник специальных слов и словосочетаний)


Вам это пока не надо? 

Подождите, дочитайте до конца! 


Если вы ещё не пострадали от крипто-вымогателей и не настолько глупы, чтобы думать, что вам это не грозит, то прочтите эти общие рекомендации.

1) Пройдите простые тесты "
Готов ли ваш ПК выдержать атаку крипто-вымогателей" и "Готовы ли вы выдержать атаку крипто-вымогателей". 
Всего по 5 вопросов с вариантами ответов. 

2) Если там вы набрали 10 баллов и ни балла меньше, то добавьте к своему антивирусу одно из дополнительных решений из проекта Anti-Ransomware.

3) Если вы набрали 9 и меньше баллов, то изучите и следуйте способам защиты из статьи "10 способов защиты от крипто-вымогателей" и тоже добавьте к своему антивирусу одно из дополнительных решений из проекта Anti-Ransomware (например, RansomFree или AppCheck).

4) Если вы всё ещё думаете, что вам нечего терять и "Чума Интернета" вас не коснётся, то вы очень сильно заблуждаетесь. С каждым днём появляются новые способы обхода самозащиты новейшей ОС Windows 10 и новейших антивирусных средств, потому мы и рекомендуем использовать не только комплексную антивирусную защиту и одно из дополнительных решений из проекта Anti-Ransomware, но и постоянно обновляем информацию по шифровальщикам и прочим блокировщикам-вымогателям. 

5) Мы также обновляем информацию по Дешифровщикам (декриптерам), т.е. программам, которые ежедневно спасают террабайты информации у пользователей всего мира. Но если посмотреть внимательно, то можно заметить и сравнить количество актуальных и реально помогающих дешифровщиков с количеством описанных в блоге шифровальщиков и блокировщиков. Конечно, там и тут это не все, что существуют в реальности, но и это соотношение ужасающе точно. Задумайтесь. 

© Amigo-A (Andrew Ivanov): Онлайн-заявление (первоисточник). 
© Amigo-A (Andrew Ivanov): All blog articles.
© Amigo-A (Andrew Ivanov): Все статьи блога.

Идентификация

ID-Ransomware.RU


Как узнать какой шифровальщик зашифровал файлы?

Как идентифицировать вымогателя, который заблокировал или зашифровал файлы?

1 способ  
ID-Ransomware.RU — это краткое название сайта, где вы сейчас находитесь. 
Здесь можно в общем списке по названию программы-вымогателя или её элементам определить какой шифровальщик зашифровал файлы. Для это здесь собраны визуальные идентификаторы (VID), проще говоря, видимые элементы вымогательства: записки, которые оставляют вымогатели после атаки и шифрования файлов, контакты для связи, файлы с добавленными расширениями, самоназвания, написанные в записках, на сайтах вымогателей или вписанные в код программы. 

2 способ  
Если у вас есть зашифрованные файлы и файл записки с требованием выкупа, то вы можете воспользоваться еще одним сайтом ID-Ransomware. 


Разработчиком ID Ransomware (IDR) является Майкл Джиллеспи (Michael Gillespie aka Demonslay335). 

Для это нужно перейти на сайт ID Ransomware, выбрать свой язык в правом верхнем углу, далее с помощью кнопок "Выберите файл" выбрать на своем ПК два файла:
- записку о выкупе, оставленную вымогателями, если она есть;
- один зашифрованный файл, который теперь не открывается. 

И нажать там вот такую красную кнопку "Загрузить".



1) После загрузки файлы будут проверены по базе известных программ-вымогателей, а вы получите результат в виде информации о Ransomware, в виде ссылки на сайт поддержки пострадавших или на сайт с готовым дешифровщиком. 
Иногда могут быть ссылки на мои статьи, но из-за каких-то проблем, ссылки получают неправильный адрес, поэтому разработчик стал делать ссылки на сообщение в Твиттере или на сайте BleepingComputer. 

Если IDR не может определить вымогателя, то вам будет предложено создать новую тему на форуме BleepingComputer.com для того, чтобы вам оказали помощь специалисты по крипто-вымогателям. Форум на английском языке, но можно описать свою проблему на любом языке. Кроме того я тоже там есть и, возможно, совместно нам удастся вам помочь и выпустить дешифровщик, как это было уже много раз. В любом случае я помогу, чем смогу или привлеку других специалистов. 

2) Вымогатели часто копируют записки из других Ransomware. Потому для большей точности нужно загружать в IDR файлы трижды:
- сначала только записку без файла;
- потом зашифрованный файл без записки;
- потом записку и зашифрованный файл. 

Если результаты совпадут, то идентификация правильная. 
Если же результаты разные, то потребуется исследование.
Скопируйте код и URL-адреса результатов и 
напишите нам.

Или пришлите нам записку (записки) и несколько разных зашифрованных файлов. В таком случае мы сами проведём нужные действия и проанализируем все результаты. 

Вы можете свериться с каждой идентификацией и найти описания шифровальщиков по алфавиту в данном блоге. См. "Список".

См. также мои статьи:
Шифровальщики — чума Интернета
FAQ по Ransomware: Это важно знать!!!
10 способов защиты от шифровальщиков-вымогателей
Генеалогия вымогателей (объяснение родства)
Глоссарий блога (слова, которые нужно пояснить)

Вопросы и ответы


Для чего предназначен ID Ransomware?
1) для постоянной идентификации Ransomware, т. к. база идентификаторов ежедневно 
пополняется, а вымогательские проекты могут оставаться активны долгое время или видоизменяться до неузнаваемости;
2) для временной идентификации Ransomware, т. к. порой создаётся временная группа, а после изучения образцов разные идентификации могут быть объединены или разделены;
3) для сбора поступающих образцов, указания на тему поддержки, на дополнительный источник информации, на отсутствие или наличие способа расшифровки файлов. 

Почему в ID Ransomware (IDR) названия некоторых вымогателей выделяются жирным шрифтом?
Это изначально задумка автора, Майкла Джиллеспи, чтобы показать общественности какие вредоносы добавились в список в последнюю неделю или обновились. 

Почему в ID Ransomware (IDR) и у вас некоторые названия различаются? 
Я работаю с IDR и беру название оттуда, если оно там появилось раньше и согласую его с разработчиком IDR по необходимости. 
Если я описал вредонос раньше, чем он появился в IDR или ещё кем-то был описан, то даю название, которое точнее характеризует этот вымогатель, или оригинальное, если оно ещё никаким вымогателем в списке статей не занято. 
Иногда я даю 2-3 названия в заголовке, чтобы по ошибке не дублировать. Поисковики Google и Яндекс считывают информацию и передают на выдачу результатов. Я добавляю в заголовок варианты названий и псевдонимы, а конце статьи указываю название, под которым Ransomware идентифицируется в IDR. В ранних статьях этого не было. 

Как даются названия в IDR и в ваших статьях? 
Когда обнаружен новый крипто-вымогатель, не имеющий каких-то самоназваний, находящихся в поле видимости, или использующий чужое, более известное название, то порой непросто найти подходящее для него название. В таких случаях мы используем названия и строки, найденные в исполняемых файлах, в коде зашифрованных файлов, на сайтах уплаты выкупа, даже в обновлённых версиях вредоноса. Иногда используется добавляемое расширение или логин почты вымогателей. В других случаях вредонос даёт нам подсказки, как его назвать, используя маркер зашифрованных файлов или мьютекс. Так
 удобнее описывать и идентифицировать ransomware.  

Почему в ID Ransomware (IDR) на официальном сайте меньше вымогателей, чем у вас в списке?
Причин несколько:
а) в IDR записаны только те шифровальщики, которые идентифицируются по названию текстовой записки о выкупе, по коду исполняемого файла, по расширению, по контактам вымогателей (email, BTC, Jabber, Telegram, Discord, Tor-сайту и Tor-почтe), маркеру файлов и ряду других признаков, а если нет текстовой записки и никакое расширение к файлам не добавляется, то такой шифровальщик в IDR может не пройти идентификацию; 
б) в списке IDR находятся только реальные крипто-вымогатели (шифровальщики), если файлы не шифруются, то их тоже нет в этом списке, а у меня в списке есть ещё фейк-шифровальщики, проекты RaaS, тест-проекты, "обучатели", гибрид-вымогатели и блокировщики-вымогатели, получившие развитие как шифровальщики; 
в) в IDR только те, которые опознаны как новые шифровальщики, но если по ряду признаков и программному коду идёт повтор (новая итерация) уже известных, то идентификация в IDR группируется в один более ранний или получивший наибольшую известность шифровальщик, а в результатах IDR даётся ссылка на тему поддержки на форуме BleepingComputer; 
г) статьи в этом блоге пишутся ежедневно, в хронологическом порядке, если у вредоносного ПО появляются обновления, то в конце статьи я добавляю эти сведения, а не пишу статью про каждую новую копию; 
д) исключение из пункта "г" составляют новые вариации крипто-вымогателей, для описания которых требуется отдельная статья с подробной информацией (признаки, записки, контакты, скриншоты и пр.), и часто заранее неизвестно о том, что это новая вариация уже описанного вымогателя; в таких случаях потом выручает пункт "Генеалогия"; 
е) некоторые идентификации в IDR сгруппированы, например под HiddenTear там идентифицируется множество однотипных шифровальщиков, основанных на HiddenTear; в других тоже сгруппированы "родственники": CryptoMix, Scarab, GlobeImposter. 
ё) великое множество крипто-вымогателей и фейк-шифровальщиков ещё не описано из-за отсутствия подробной информации или же они настолько повторяют друг друга, благодаря крипто-конструкторам и крипто-строителям, что не нуждаются в отдельной идентификации в IDR и в описании у меня в блоге; если они будут отличаться, то будут отдельная идентификация и отдельное описание. 

Почему у вас в списке вымогателей нет ряда известных шифровальщиков из 2015 года и более ранних годов? 
Ранее было немало шифровальщиков, но тогда я не вёл этот блог. Будет необходимость, я добавлю описание в предыдущие годы. По возможности я выстрою для них хронологию и генеалогию. Я регулярно добавляю информацию о старых шифровальщиках, но не сообщаю об этом. 

Почему у вас в списке вымогателей нет статей для ряда шифровальщиков, которые есть в IDR? 
На некоторые шифровальщики из IDR вообще нет информации и образцов, есть только название записки и расширения. В IDR в таком виде добавить можно, а мне рассказать нечего. Некоторые в таком виде уже описаны, в надежде добавить информацию. Другие я описывал ранее в другом месте сети, там остались мои ранние описания и ссылки. Можно найти их в поиске под другим моим ником - SNS-amigo, но информация там давно устарела. Периодически я обновляю статьи здесь.

Как формируется описание в ваших статьях?
Не сразу, но со временем, мне удалось создать подобие шаблона, который позволяет дополнять информацию за меньшее время. Ранее я писал всю статью полностью, что занимало больше времени, но тогда было меньше вымогательских программ. Да и гораздо лучше для подписчиков и читателей, когда они видят привычный уклад текста, по которому они находят нужную им информацию, даже, если не знают русского языка.  

Что означает сокращение (n/a) у вас в ссылках на идентификацию?
Запись ID Ransomware (n/a) у меня в статьях блога означает:
No able identifiable - "невозможно определить";
ID not available - "идентификатор недоступен";
ID not applicable - "идентификатор не указан". 
Какой ни напиши, смысл одинаковый. 

Что означает HT в названиях?
Это указание на происхождение из HiddenTear. Добавляется в тех случаях, когда уже есть вымогатель с таким названием, или используется более известное название, примеры: Facebook HT, Cyber Police HT и пр. Может быть следовало добавлять HT и ко всем названиями, основанным на HiddenTear, но их уже столько было, что на правку ранних статей уйдёт много ненужного времени. 

Как с вами связаться и задать вопрос? 
Задать вопросы можно в комментариях или через форму обратной связи ниже. Или через страницу Contact
Мой email: aWQtcmFuc29td2FyZUB5YW5kZXgucnU= - декодь на base64decode.net и увидишь email для контакта. 


© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *