Surprise

Surprise Ransomware 

(шифровальщик-вымогатель)

 Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп от 0,5 до 25 биткоинов, чтобы вернуть файлы обратно. Название происходит. К зашифрованным файлам добавляется расширение .surprise или .tzu в другой версии. Активность этого криптовымогателя пришлась на март 2016 г. 

© Генеалогия: EDA2 >> Surprise 

Записки с требованием выкупа являются файлы DECRYPTION_HOWTO.Notepad и Encrypted_Files.Notepad, которые размещаются на Рабочем столе. 

Содержание записки о выкупе: 
What happened to your files?
All of your files were protected by a strong encryption.
There is no way to decrypt your files without the key.
If your files not important for you just reinstall your system.
If your files is important just email us to discuss the price and how to decrypt your files.
You can email us to nowayout_at_protonmail.com and nowayout_at_sigaint.org
Write your Email to both email addresses PLS
We accept just BITCOIN if you don’t know what it is just google it.
We will give instructions where and how you buy bitcoin in your country.
Price depends on how important your files and network is.it could be 0.5 bitcoin to 25 bitcoin.
You can send us a 1 encrypted file for decryption.
Feel free to email us with your country and computer name and username of the infected system.

Перевод записки на русский язык: 
Что случилось с файлами?
Все ваши файлы защищены сильным шифрованием.
Невозможно дешифровать файлы без ключа.
Если файлы для вас не важны, переустановите систему.
Если файлы важны, напишите нам, чтобы обсудить цену и дешифровать файлы.
Вы можете писать на nowayout_at_protonmail.com и nowayout_at_sigaint.org
Напишите нам на оба email-адреса, пожалуйста
Мы берём только Bitcoin, если не знаете, что это, погуглите.
Мы дадим инструкцию, где и как купить Bitcoin в вашей стране.
Цена зависит от того, насколько важны файлы и может быть от 0,5 до 25 Bitcoin.
Вышлите нам 1 зашифрованный файл для дешифровки.
Укажите название страны, имя компьютера и имя пользователя заражённой системы.

Файл DECRYPTION_HOWTO.Notepad содержит также инструкции по дешифрованию. Пользователям рекомендуется связаться с разработчиками для получения дальнейших инструкций. Сумма требуемого выкупа зависит от степени важности данных и может варьироваться в пределах от 0,5 до 25 BTC (на время исследования, что эквивалентно US $ 206,63 - US $ 10331,25). Условия выплаты обсуждаются индивидуально.

В целом функционал вымогателя не отличается от возможностей других представителей ПО подобного типа, но примечателен способ его распространения. Для данной цели злоумышленники используют TeamViewer - популярный инструмент удаленного доступа и помощи. У большинства жертв вредоноса был установлен TeamViewer версии 10.0.47484.

По словам эксперта компании PrivacyPC Дэвида Балабана, анализировавшего журналы трафика TeamViewer, злоумышленники удаленно запустили процесс surprise.exe на компьютерах жертв. Вероятно, преступники могли воспользоваться учетными данными, похищенными в результате взлома компьютерных систем TeamViewer, но в самой компании опровергли вероятность несанкционированного проникновения.

 Список файловых расширений, подвергающихся шифрованию: 
 .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .ais, .amf, .amr, .amu, .amx, .ans, .ap, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase,.asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bsp, .cag, .cam, .car, .cbr, .cbz, .ccd, .cch, .cd, .cdr, .cer, .cgf, .chk, .cms, .col, .crd, .crt, .cso, .ctt, .cty, .dal, .dap, .ddc, .ddcx, .dem, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .err, .euc, .evo, .faq, .fcd, .fdr, .fds, .ff, .flp, .flv, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lcd, .lcf, .ldb, .lgp, .lp2, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .msg, .msp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .png, .pot, .potx, .ppd, .ppf, .pps, .ppsx, .ppt, .pptm, .pptx, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qtq, .ra, .rar, .raw, .rev, .rgn, .rng, .rrt, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .snp, .spr, .sql, .sqx, .srt, .ssa, .stt, .stx, .sud, .svi, .svr, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .trp, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vcd, .vdo, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wsh, .wtd, .wtf, .wvx, .xl .xls, .xlsm, .xlsx, .xpi, .xvid, .xwd, .z02, .z04, .zap, .zip, .zipx, .zoo (343 расширения). 

 Файлы, связанные с Surprise Ransomware: 
%Desktop%\DECRYPTION_HOWTO.Notepad
%Desktop%\Encrypted_Files.Notepad
%Desktop%\surprise.bat
%Desktop%\surprise.exe

 Сетевые подключения и связи: 
nowayout@protonmail.com
nowayout@sigaint.org
besthuk@mail.ru
viper317887@gmail.com
wearehere@sigaint.org

Обновление от 21 февраля 2017:
Email: besthuk@mail.ru viper317887@gmail.com wearehere@sigaint.org
Содержание записки: 
What happened to your files ?
All of your files were protected by a strong encryption.
There is no way to decrypt your files without the key.
If your files not important for you just reinstall your system.
If your files is important just email us to discuss the price and how to decrypt your files.
You can email us to besthuk@mail.ru ; viper317887@gmail.com ; wearehere@sigaint.org
Write your Email to ALL email addresses PLS
We accept just BITCOIN if you dont know what it is just google it.
We will give instructions where and how you buy bitcoin in your country.
Price depends on how important your files and network is.it could be 0.5 bitcoin to 100 bitcoin.
You can send us a 1 encrypted file for decryption.
Feel free to email us with your country and computer name and username of the infected system.

Обновление от 7 марта 2017:
Расширение: .tzu

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Ссылки:
Статья на BC

Xorist

Xorist Ransomware (2016-2019)

(шифровальщик-вымогатель, семейство) 

Translation into English

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

   Здесь собраны и частично описаны разные варианты этого семейства, известного с 2012 года. Для некоторых написаны отдельные статьи с подробной информацией, не помещающейся в рамки небольшой заметки-обновления по датам. Некоторые варианты Xorist Ransomware распространяются из Украины политически мотивированными хакерами и преступниками. 

Информация о шифровальщике Xorist 

   Это целое семейство крипто-вымогателей, базирующееся на крипто-конструкторе Encoder Builder, в котором можно задавать различные параметры для будущего крипто-вымогателя: 
- список целевых файловых расширений для шифрования; 
- формат расширения, добавляемого к зашифрованным файлам; 
- алгоритм шифрования (XOR или TEA); 
- пароль шифрования; 
- число попыток для ввода пароля; 
- пароль дешифрования; 
- язык интерфейса; 
- изображения для экрана блокировки и смены обоев; 
- добавление в автозагрузку системы и другие фичи. 

  После выбора желаемых опций создать новый крипто-вымогатель этого семейства можно нажатием всего одной кнопки Create! (Создать!).

Так выглядит Builder для Xorist-вымогателей (английская и русская версия)

По умолчанию, Encoder Builder настроен на создание стандартного для Xorist-семейства сообщения с требованием выкупа, но всё, разумеется, настраивается под желание создающего. 

Фабиан Восар из Emsisoft обнаружил этот Encoder Builder и создал дешифровщик (декриптер) для этой семьи крипто-вымогателей, который помогает дешифровать старые и новые версии шифровальщиков семейства Xorist. 

Пострадавших от семейства Xorist-вымогателей становится всё больше в запросах помощи на форумах безопасности и лечения от вирусов.

Технические детали

Самоназвание: 0p3nSOurc3 X0r157 (OpenSource Xorist). 

Разработчик: vazonez 

Шифровальщик и его варианты могут распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Проблема идентификации крипто-вымогателя заключается в том, что зашифрованные файлы имеют различные расширения, различаются и записки с требованием выкупа, что затрудняет жертве поиск информации на получение помощи. 

Например, на момент написания статьи мы видели варианты этих вымогателей, которые добавляли к зашифрованным файлам следующие расширения: .EnCiPhErEd, .73i87A, .p5tkjw, .PoAr2w, .fileiscryptedhard, .pa2384259 ... И это только малая часть вариантов.

Список файловых расширений, подвергающихся шифрованию:

.1cd, .3gp, .7z, .ac3, .ape, .avi, .bmp, .cdr, .cer, .dbf, .divx, .djvu, .doc, .docx, .dwg, .flac, .flv, .gif, .gzip, .htm, .html, .ifo, .jpeg, .jpg, .kwm, .lnk, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png, .ppt, .pptx, .psd, .pwm, .rar, .tar, .torrent, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsx,.zip (57 расширений). 

Степень распространённости: высокая.
Подробные сведения собираются. 

---

Примечание 1. От 14 декабря 2017 года

В списке на данный момент времени 73 варианта расширений:

.ava

.cerber

.LOCKED

.workencryptincfolder@india.com=.cerberV5

.xdata

.0JELvV

.5vypSa

.6FKR8d

.73i87A

.@EnCrYpTeD2016@

.antihacker2017

.asdasdasd

.BLACKSNOW

.BLACK_MAMBA_Files@QQ.COM

.Blocked2

.C0rp0r@c@0Xr@t

.CerBerSysLocked0009881

.Cerber_RansomWare@qq.com

.cryptolocker

.CryPton

.deccripted@gmail.com

.decryptable_options@tutanota.com

.decrypter@tutanota.com

.DecryptFilesOnlineServices@gmail.com

.decryptoffice@tuta.io

.decryptor@keemail.me

.DECRYPT-ID-([0-9]{7,8})

.EnCiPhErEd

.ENCODED

.encoderpass

.error

.error667332([0-9]{5})

.errorfiles

.ERRORID22779911

.ERROR-ID-631001111

.fast_decrypt_and_protect@tutanota.com

.FbFu

.filebk

.fileiscryptedhard

.HELLO

.id-([0-9]{8}){frogobigens@india.com}.lock

.id-{([0-9-A-Z]*)}_decrypt24@india_com

.id09042

.imme

.InSDelCryptEnd

.InSDelCryptEnd2

.n1wLp0

.okean-1955@india.com.xtbl

.p5tkjw

.pa2384259

.PoAr2w

.protect_and_security@tutamail.com

.Recoverfiles2017@qq.com

.RecoverSystem@keemail.me

.repairme2017@keemail.me

.repairme@tutanota.com

.RSA-4096

.rtyrtyrty

.RuSVon

.RusVon

.SaMsUnG

.stoppirates

.sunliga

.support_repair@qq.com

.UslJ6m

.xdfxdfxdf

.YNhlv1

.zc3791

.zonfi

.zonfir

.zongros

....error77002017111

.__xratteamLucked

***

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Xorist Family (семейство Xorist в этом блоге):

Xorist-Vandev - сентябрь - октябрь 2012.

Xorist-EnCiPhErEd Ransomware - май 2016

Xorist-FakeRSA Ransomware - февраль 2017

Xorist-Zixer2 Ransomware - апрель 2017

Xorist-TraNs Ransomware - июнь 2017

Xorist-RuSVon Ransomware - июль 2017

Xorist-Hello Ransomware - август 2017

Xorist-CerBerSysLock Ransomware - декабрь 2017

Xorist-Frozen Ransomware - февраль 2018

Xorist-XWZ Ransomware - март 2018

Xorist-TaRoNiS - июль 2018

Xorist 2020 - 2021 Ransomware

и другие, см. список на алфавитной странице. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства.

Обновление от 3 марта 2016:
Алгоритм: XOR
Расширение: .o11fFQ
Email: unblocked@email.su, unblocked@tuta.io
Топик на форуме >>
Сообщение на сайте chklst.ru >>

Обновление от 22 мая 2016:
Статья Xorist-EnCiPhErEd Ransomware >>

Обновление от 16-17 апреля 2017:
Статья Xorist-FakeRSA Ransomware >>

Обновление от 18 апреля 2017:

Email: workencryptincfolder@india.com
Алгоритм шифрования: TEA
Тема на форуме >>
Расширение: .cerberV5
Составное расширение: .workencryptincfolder@india.com=.cerberV5

Пример зашифрованного файла: file_name.doc.workencryptincfolder@india.com=.cerberV5
Email: workencryptincfolder@india.com

Генерируются уникальные параметры для каждой папки. 

Файлы шифруются разными ключами.

Обновление от 12 мая 2017:

Email: decripted2017@gmail.com

Расширение: .decripted2017@gmail.com

Обновление от 16 мая 2017:

Пост в Твиттере >>

Расширение: .SaMsUnG

Анализы: VT

Обновление от 23 мая 2017:

Пост в Твиттере >>

Расширение: .xdata

Файл: .exe

Анализы: VT

Обновление от 19 июня 2017:
Распространяется путём взлома через незащищенную конфигурацию RDP. 
Расширение: .blocked@blocked.cc
Email: secure2017@tuta.io
BTC: 13erqqbBFUaVLyLPwm3dUhApG4xAVQd5Ei
Записка: HOW TO DECRYPT FILES.txt
➤ Содержание записки: 
YOUR SYSTEM IS LOCKED AND ALL YOUR DATA HAS BEEN ENCRYPTED.
DON'T WORRY YOUR FILES AS SAFE.
TO RETURN ALL THE NORMALLY YOU MUST BUY THE DECRYPTOR PROGRAM.
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
https://coinatmradar.com/   (find a ATM)
https://www.localbitcoins.com/  (buy instantly online any country)
THE PRICE FOR DECRYPTOR SOFTWARE IS 1 BTC
BTC ADRESS : 13erqqbBFUaVLyLPwm3dUhApG4xAVQd5Ei
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
For more information : secure2017@tuta.io    (24/7)
Subject : SYSTEM-ID:20172018
Топик поддержки на форуме >>

Обновление от 7 июля 2017:
Расширение: .RuSVon
Файлы: Start.exe
Результаты анализов: HA + VT

Обновление от 8 августа 2017:
Статья Xorist-Hello Ransomware >>
Расширение: .HELLO
Результаты анализов: VT

Обновление от 6 сентября 2017:
Расширение: .Blocked2
Файлы: VBoxDTrace.exe
Результаты анализов: VT

Обновление от 16 октября 2018:
🎥 Видеообзор от GrujaRS >>
Распространяется путём взлома через незащищенную конфигурацию RDP. 
Расширение: ....error77002017111
Email: 1ss33ggur@scryptmail.com
BTC: 1AXaJtH9r1ez3KyWtLshw9opYzmK4sE3PWЗаписка: HOW TO DECRYPT FILES.txt
➤ Содержание записки: 
YOUR SYSTEM IS LOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.
DON'T WORRY YOUR FILES ARE SAFE.
TO RETURN ALL THE NORMALLY YOU MUST BUY THE CERBER DECRYPTOR PROGRAM.
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
https://coinatmradar.com/   (find a ATM)
https://www.localbitcoins.com/  (buy instantly online any country)
THE PRICE FOR DECRYPTOR SOFTWARE IS 1 BTC
BTC ADRESS : 1AXaJtH9r1ez3KyWtLshw9opYzmK4sE3PW
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.
THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.
For more information : 1ss33ggur@scryptmail.com    (24/7)
Subject : SYSTEM-LOCKED-ID: XXXXXXXX
➤ Скомпрометированные сайты: 
xxxx://amymeila.com/
xxxx://tjhyml.com/
➤ Скриншот с сайтов

➤ Текст на сайтах: 
It's Not Over! WannaCry?
Corrupted FILES!
To Fix Your Corrupted FILES! Contact : 1ss33ggur@scryptmail.com
With Privat Subject ID = error2299330 

Corrupted FILES!
Файлы: Tax Refund notification.exe
Результаты анализов: VT


Обновление от 10 ноября 2018:
Расширение: .1ss33ggur
Email: 1ss33ggur@scryptmail.com
BTC: 1AXaJtH9r1ez3KyWtLshw9opYzmK4sE3PW
Записка: HOW TO DECRYPT FILES.txt
➤ Содержание записки: 
YOUR SYSTEM IS LOCKED AND ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.
DON'T WORRY YOUR FILES ARE SAFE.
TO RETURN ALL THE NORMALLY YOU MUST BUY THE CERBER DECRYPTOR PROGRAM.
PAYMENTS ARE ACCEPTED ONLY THROUGH THE BITCOIN NETWORK.
YOU CAN GET THEM VIA ATM MACHINE OR ONLINE 
https://coinatmradar.com/ (find a ATM)
https://www.localbitcoins.com/ (buy instantly online any country)
THE PRICE FOR DECRYPTOR SOFTWARE IS 1 BTC
BTC ADRESS : 1AXaJtH9r1ez3KyWtLshw9opYzmK4sE3PW
VERRY IMPORTANT !
DO NOT TRY TO SCAN WITH ANTIVIRUS YOU RISK LOSING YOUR DATA .
ANTIVIRUSES ONLY DESTROY THE ENCRYPTED DATA , THEY DO NOT KNOW THE ALGORITH WITH WICH THE ENTIRE SYSTEM WAS ENCRYPTED.
THE ONLY WAY TO DECRYPT YOUR SYSTEM AND RETURN TO NORMAL IS TO BUY THE ORIGINAL DECRYPTOR SOFTWARE.
For more information : 1ss33ggur@scryptmail.com (24/7)
Subject : SYSTEM-LOCKED-ID: 10199999

Обновление от 7 декабря 2017:
Пост в Твиттере >>
Статья Xorist-CerBerSysLock Ransomware >>

Расширение: .CerBerSysLocked0009881

Обновление от 3 января 2018: 
Пост в Твиттере >>
Расширение: .cryptedx
Записка: HOW TO DECRYPT FILES.txt
Файл: dawdawd.exe
Результаты анализов: VT + VT
Статус: Дешифруем!

Обновление от 5 июня 2018:
Расширение: .GrAnoSinsa
Статус: Дешифруем!

Обновление от 26 января 2018:
Самоназвание или использованное слово: crypt0nx
Пост в Твиттере >>
Расширение: .mafee
Записка: HOW TO DECRYPT FILES.txt
Результаты анализов: VT + IA
Обновленный вариант см. в статье Xorist-Mcafee Ransomware

Обновление от 29 января 2018:
Пост в Твиттере >>
Расширение: .mbrcodes
Записка: HOW TO DECRYPT FILES.txt
Email: mbrcodes@india.com
➤ Содержание записки: 
Seus arquivos foram compactados!
Para recupera-los, voce precisa de uma chave de segurança.
Caso tenha real interesse na recuperação deles envie seu código para consulta: 14rescryptedsadfg
Para o email: mbrcodes@india.com
alterações no sistema operacional resultará imediatamente na perca total dos dados!
Seu contato será respondido o mais rápido possível.


Обновление от 25 февраля 2019:
Пост в Твиттере >>
Расширение: .
Записка: HOW TO DECRYPT FILES.txt
Файл EXE: recibo.pdf.exe
Результаты анализов: VT + VMR + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!!! 
Для зашифрованных файлов есть декриптер. 
Скачать декриптер и дешифровать файлы >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

SamSam

SamSam Ransomware

Samas Ransomware

SAM Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 1-3 BTC и больше, чтобы вернуть файлы. Оригинальное название: SamSam. На файле написано: samsam.exe. Во время шифрования генерируется уникальный ключ AES и IV для каждого отдельного файла.

Обнаружения: 

DrWeb -> Trojan.Encoder.4320

BitDefender -> Generic.Ransom.SamSam.*

Kaspersky -> Trojan-Ransom.MSIL.Samas.*

© Генеалогия: SamSam. Начало

К зашифрованным файлам добавляется расширение .encryptedRSA
Позже появились расширения:
.encryptedAES
.encedRSA
.justbtcwillhelpyou
.btcbtcbtc
.btc-help-you
.only-we_can-help_you
.iwanthelpuuu
.stubbin

.berkshire
и многие другие (см. обновления после статьи). 

Активность этого крипто-вымогателя зарегистрирована в феврале-марте-апреле 2016 г. Ориентирован на англоязычных пользователей, что позволило распространять его по всему миру. 
В марте 2016 года ФБР США обратилось к экспертам в сфере информационной безопасности с просьбой оказать содействие в расследовании деятельности вымогательского ПО Ransom: MSIL/Samas.A, или SamSam, известного ФБР с февраля этого года. 

Записка с требованием выкупа называется: HELP_DECRYPT_YOUR_FILES.html

Она размещается во всех папках, где есть зашифрованные файлы, а также на Рабочем столе. 

Содержание записки о выкупе:
All of your important files encrypted with RSA-2048, RSA-2848 is a powerful cryptography algorithm
For more information you can use Wikipedia
*attention: Don't rename or edit encrypted files because it will be impossible to decrypt your files
#How to recover files?
RSA is a asymmetric cryptographic algorithm, You need two key
1-Public key: you need it for encryption
2-Private Key: you need it for decryption
So you need Private key to recover your files.
All of your network computers files is encrypted with one public key. So you need just one Private key to recover all computers files
The private Key that we will send works on all your computers
#How to get private key?
It's not possible to recover your files without private key, You must send us 15,000$ USD in Bitcoin about(37 BTC) to receive private key For all affected computers
After that we send your private key in our blogs.
*Our blog address: *****
*Our Bitcoin address: *****
We check our Bitcoin address every 2 hours
After that we receive Bitcoins we send your Private Key in our blog
#What is Bitcoin?
Bitcoin is an innovative payment network and a new kind of money.
You can create a Bitcoin account at https://blockchain.info/ and deposit some money into your account and then send to us
#How to buy Bitcoin?
There are Many way to buy Bitcoin and deposit it into your account,
You can buy it with WesternUnion, Bank Wire, International Bank transfer, Cash deposit and etc
https://localbitcoins.com ---> Buy Bitcoin with WesternUnion or MoneyGram
https://coincafe.com ---> Buy Bitcoin fast and Secure with WesternUnion and Cash deposit
https://www.bitstamp.net ---> Buy Bitcoin with bank wire, International bank transfer, SEPA payment
httos://www.kraken.com ---> Buy Bitcoin with bank wire, International bank transfer, SEPA payment
https://www.kraken.com ---> Buy Bitcoin with bank wire, International bank transfer, SEPA payment
https://www.ccedk.com ---> Buy Bitcoin with bank wire, International bank transfer, SEPA payment
https://bitcurex.com/ ---> Buy Bitcoin with bank wire, International bank transfer, SEPA payment
If you want to pay with your Business bank account you should create a business account in exchangers they don't accept payment from third party
#How to use private Key?
We send you a simple software with private Key
And you just need run this software on each computer that encrypted and all affected files will be decrypted
#deadline
You just have 72 hours to send us the Bitcoin after 72 hours we will remove your private key and it's impossible to recover your files

Перевод записки на русский язык:
Все ваши важные файлы зашифрованы с RSA-2048, RSA-2848 - мощный криптографический алгоритм
Для получения информации вы можете использовать Википедию
* Внимание: не переименовывайте и редактируйт зашифрованные файлы, потому что невозможно будет расшифровать ваши файлы
# Как восстановить файлы?
RSA - асимметричный криптографический алгоритм, вам нужны два ключа
1 - открытый ключ: вам это нужно для шифрования
2 - закрытый ключ: вам нужно его для расшифровки
Таким образом, вам нужен закрытый ключ для восстановления ваших файлов.
Все файлы ваших сетевых компьютеров зашифрованы одним открытым ключом. Таким образом, вам нужен только один закрытый ключ для восстановления всех файлов компьютеров
Закрытый ключ, который мы отправим на все ваши компьютеры
# Как получить закрытый ключ?
Невозможно восстановить файлы без персонального ключа. Вы должны отправить нам 15 000 долларов США в биткоинах (37 BTC), чтобы получить секретный ключ. Для всех затронутых компьютеров
После этого мы отправим ваш секретный ключ в наши блоги.
* Наш адрес в блоге: *****
* Наш биткоин-адрес: *****
Мы проверяем наш биткоин-адрес каждые 2 часа
После этого мы получаем биткоины, которые мы отправляем в наш блог
# Что такое биткоин?
Биткоин - это инновационная платежная сеть и новый вид денег.
Вы можете создать учетную запись Биткоин на https://blockchain.info/ и внести деньги на свой счет, а затем отправить нам
# Как купить биткоин?
Есть много способов купить биткоины и внести его в свой аккаунт,
Вы можете купить его с WesternUnion, банковским переводом, международным банковским переводом, депозитом наличными и т. Д.
https://localbitcoins.com ---> Купить биткоин с WesternUnion или MoneyGram
https://coincafe.com ---> Купить биткоин быстро и безопасно с WesternUnion и депозитом наличными
https://www.bitstamp.net ---> Купить биткоин с банковским переводом, международный банковский перевод, оплата SEPA
httos: //www.kraken.com ---> Купить биткоин с банковским переводом, международный банковский перевод, оплата SEPA
https://www.kraken.com ---> Купить биткоин с банковским переводом, международный банковский перевод, оплата SEPA
https://www.ccedk.com ---> Купить биткоин с банковским переводом, международный банковский перевод, оплата SEPA
https://bitcurex.com/ ---> Купить биткоин с банковским переводом, международный банковский перевод, оплата SEPA
Если вы хотите оплатить свой банковский счет в бизнес-банке, вы должны создать учетную запись в обменных пунктах, которые они не могут принимать платежи от третьих лиц
#Как использовать закрытый ключ?
Мы отправляем вам простую программу с закрытым ключом
И вам просто нужно запустить эту программу на каждом компьютере, который зашифрован, и все затронутые файлы будут расшифрованы
#крайний срок
У вас просто есть 72 часа, чтобы отправить нам биткоин через 72 часа, мы удалим ваш личный ключ, и будет невозможно вернуть ваши файлы 

Подробнее о работе этого вредоноса

Удалённые взломщики используют хакерский инструмент JexBoss для автоматического обнаружения уязвимых систем с устаревшими версиями JBOSS и последующего запуска атаки для удалённой установки вымогателей SamSam на компьютеры жертв. Вредоносное ПО, поставляющее SamSam, раздается на Windows-системы посредством эксплуатации уязвимостей в непропатченных серверах JBoss. Затем устанавливает веб-шелл, идентифицирует другие подключенные к сети системы и внедряет вымогателя SamSam для осуществления шифрования файлов на устройствах сети. 

Схема последовательности атаки

Главная особенность Samas заключается в возможности шифрования данных на всех компьютерах в скомпрометированной сети. SamSam запускает на скомпрометированной машине процесс samsam.exe и приступает к шифрованию, используя комбинацию AES-256 (CBC) + RSA-2096. SamSam совсем не скрывает свою активность в системе, не использует упаковщик и не обнаруживает системных отладчиков. Работает автономно, но прекращает шифрование, если версия Windows ниже Vista, из-за проблем с совместимостью.

➤ Использует функционал Windows Restart Manager (менеджер перезагрузки), чтобы получить доступ к наибольшему количеству файлов и зашифровать их. 

➤ SamSam удаляет теневые копии файлов с помощью системного приложения  Vssadmin.exe. Эта функция впоследствии станет очень популярной среди шифровальщиков-вымогателей... 

Спустя некоторое время...

Спустя некоторое время после публикации новости, распространители Samsam подняли планку и стали требовать выкуп в 1,5-1,7 биткоина на зараженной системе, или 22 биткоинов за расшифровку файлов всех зараженных компьютеров сети. Malware-аналитики проконтролировали несколько кошельков Bitcoin, связанных с этими атаками, и заметили, что на них поступили выплаты в сотни тысяч долларов.

По словам исследователей, судя по всему, атаки совершались несколькими группами злоумышленников, на что указывает внедрение в системы различных бэкдоров: mela, shellinvoker, jbossinvoker, zecmd, cmd, genesis, sh3l, Inovkermngrt и jbot.

Среди признаков, свидетельствующих о получении преступниками контроля над системой, упоминается появление сторонних файлов jbossass.jsp, jbossass_jsp.class, shellinvoker.jsp, shellinvoker_jsp.class, mela.jsp, mela_jsp.class, zecmd.jsp, zecmd_jsp.class, cmd.jsp, cmd_jsp.class, wstats.jsp, wstats_jsp.class, idssvc.jsp, idssvc_jsp.class, iesvc.jsp или iesvc_jsp.class.

География распространения вымогательской инфекции SamSam

Технические подробности

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db3, .dbf, .db-journal, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jpe, .jpeg, .jpg, .jsp, .kbx, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b.p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .php5, .phtml, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tib, .tif, .tlg, .txt, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (327 расширений). 

В других версиях: 
 .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkf, .bkp, .blend, .bpw, .c, .cab, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .chm, .cib, .class, .cls, .cmt, .cnf, .conf, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .dat, .data, .db, .db3, .dbf, .db-journal, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .fxg, .gif, .gray, .grey, .gry, .gz, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jin, .jpe, .jpeg, .jpg, .js, .jse, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .log, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mm, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nof, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl , .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .tif, .tlg, .txt, .vb, .vbs, .vmdk, .vmem, .vmsd, .vmsn, .vmx, .vmxf, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv, .yuvxlr, .zip (345 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, бэкапы, архивы и пр.

Файлы, связанные с этим Ransomware:
samsam.exe
HELP_DECRYPT_YOUR_FILES.html - записка о выкупе;
<random>.exe - исполняемый файл вымогателя;
delfiletype.exe - копия исполняемого файла вымогателя;
sqlsrvtmg1.exe - копия исполняемого файла вымогателя;
psexec.exe - развертывает другие компоненты; 
del.exe - делает зачистку следов присутствия вымогателя в системе;
selfdel.exe - делает аналогичную зачистку следов (в другой версии);
list.txt - содержит украденные учётные данные.

Расположения:
C:\Windows\system32\samsam.exe
\User_folders\HELP_DECRYPT_YOUR_FILES.html
\Desktop\HELP_DECRYPT_YOUR_FILES.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://lordsecure4u.wordpress.com
xxxx://wzrw3hmj3pveaaqh.onion/diana
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 6 апреля 2016:
Пост в Твиттере >>
Расширение: .justbtcwillhelpyou

Обновление от 16 апреля 2016:
Пост в Твиттере >>
Расширение: .btcbtcbtc

Обновление от 26 апреля 2016:
Пост в Твиттере >>
Записка: HELP_FOR_DECRYPT_FILE.html
Расширение: .btc-help-you

Обновление от 11 мая 2016: 
Пост в Твиттере >>
Расширение: .only-we_can-help_you
Результаты анализов: HA+VT

Обновление от 30 июня 2016: 
Пост в Твиттере >>
Файл: wanadoesme.exe
Записка: 000-HELP_FOR_DECRYPT_FILE.html
Расширение: .iwanthelpuuu
Результаты анализов: HA+VT

Обновление от 4 ноября 2016:
Пост в Твиттере >>
Расширение: .notfoundrans
Записка: READ-FOR-HELLPP.html
BTC: 15gbE7z9cbxg5Gvh2rDFPdU1a1VLu9rnBa
Tor: ***qjvah4btqkppaudo.onion/gclass007/
Результаты анализов: VT

Обновление от 14 декабря 2016:
Файл: barbimos2.exe
Записка: READ-FOR-HELLPP.html
Расширение: .checkdiskenced
BTC: 15zpJyi4DaqRhTS2PRDHt4z1WQiGm5gsMZ
Tor: ***qjy2f3q45elp2tlc.onion/33fiveman/
Результаты анализов: VT

Обновление от 14 декабря 2016:
Пост в Твиттере >>
Файл: sobusy.exe
Фальш-имя: Contact MSoffice
Записка: 000-PLEASE-READ-WE-HELP.html
Расширение: .VforVendetta
BTC: 12Z7QctstwkxxfWdrFJs1oEpDLT3jpqcPq
Tor: ***qjy2f3q45elp2tlc.onion/sking01/
Результаты анализов: VT

Обновление от 23 декабря 2016:
Файлы: WinDir.exe (Desktop Windows Manager)
anabella2.exe
Записка: READ-FOR-HELLPP.html
Расширение: .checkdiskenced
BTC: 1Ar31oJp7ALcErh61KGiu18WsmjWpHc9pi
Tor: ***qjy2f3q45elp2tlc.onion/stackoverflow42/
Результаты анализов: VT

Обновление от 25 декабря 2016:
Пост в Твиттере >>
Записка: 002-HAPPEN-ENCED-FILES.html
Расширение: .happenencedfiles

Обновление от 30 декабря 2016:
Пост в Твиттере >>
Записка: WHERE-YOUR-FILES.html
Расширение: .Whereisyourfiles

Обновление от 1 января 2017:
Пост в Твиттере >>
Записка: HELP-ME-ENCED-FILES.html
Расширение: .helpmeencedfiles
Tor: ***heyvkn3uty2irsjx.onion/xmanx665
BTC: 1DyCVs9fBcxvd56R7tPRG1ENY1hZ4NZGcZ
Результаты анализов: VT

Обновление от 4 января 2017:
Пост в Твиттере >>
Записка: 001-PLS-DEC-MY-FILES.html
Расширение: .wowwhereismyfiles

Обновление от 10 января 2017:
Пост в Твиттере >>
Записка: 000-WOW-READ-FOR-DECRYP.html
Расширение: .wowreadfordecryp

Обновление от 14 января 2017:
Пост в Твиттере >>
Записка: WE-MUST-DEC-FILES.html
Расширение: .powerfulldecrypt
BTC: 1CMJGvv6usQ5tz4z8miDngQeRzrgvBuz8H
Tor: ***heyvkn3uty2irsjx.onion/shield221/
Результаты анализов: HA+VT

Обновление от 25 января 2017:
Пост в Твиттере >>
Записка: 000-IF-YOU-WANT-DEC-FILES.html
Расширение: .otherinformation

Обновление от 1 февраля 2017:
Пост в Твиттере >>
Записка: LET-ME-TRY-DEC-FILES.html
Расширение: .letmetrydecfiles

Обновление от 13 февраля 2017:
Пост в Твиттере >>
Записка: 001-READ-FOR-DECRYPT-FILES.html
Расширение: .encryptedyourfiles

Обновление от 21 февраля 2017:
Пост в Твиттере >>
Файл: preguess2.exe
Записка: READ-READ-READ.html
Расширение: .weencedufiles
Tor: ***v45y2fwx5ugpegmi.onion/11preguess990/
Результаты анализов: VT

Обновление от 3 марта 2017:
Пост в Твиттере >>
Записка: PLEASE-READIT-IF_YOU-WANT.html
Расширение: .filegofprencrp

Обновление от 11 марта 2017:
Пост в Твиттере >>
Файл: emetic45.exe
Записка: IF_WANT_FILES_BACK_PLS_READ.html
Расширение: .iaufkakfhsaraf
Tor: http://v45y2fwx5ugpegmi.onion/246526744emetic76453434/
BTC: 1Lmio7ee8nBk98ZWBEWi98NL3qBCWvshuJ
Результаты анализов: VT

Обновление от 20 марта 2017:
Пост в Твиттере >>
Записка: READ_READ_DEC_FILES.html
Расширение: .cifgksaffsfyghd

Обновление от 23 марта 2017:
Расширение: .checkdiskenced
Записка: READ-FOR-HELLPP.html
BTC: 1DA1gyQNpCRM1292nV3xY53tkDzeJ7SgZ4
Tor: ***qjy2f3q45elp2tlc.onion/22ultra/
Результаты анализов: HA+VT

Обновление от 24 марта 2017:
Записка: WE-CAN-HELP-U.html
Расширение: .vekanhelpu
BTC: 1G8CNAevnbz4iu2PUGMU65FyoNgZeNVYQY
Tor: ***pt7ow5kk6dxkobcq.onion/6petro33/
Результаты анализов: VT

Обновление от 26 июня 2017:
Пост в Твиттере >>
Расширение: .moments2900

Обновление от 14 июля 2017:
Расширение: .country82000

Обновление от 19 июля 2017:
Пост в Твиттере >>
Расширения: .breeding123 и .mention9823

Обновление от 30 июля 2017:
Пост в Твиттере >>
Расширение: .supported2017
Файлы: cheerful2.exe (2768784_cheerful2.exe)
BTC: 1NWDgpimwWxmsVysjdzd3udEUKmFjN7pnN
C2 URL: xxxx://fxn5ao5mmaktpsug.onion/19732remarkably84561/
Результаты анализов: VT, VT

Обновление от 26 августа 2017:
Записка: PLEASE-README-AFFECTED-FILES.html
Расширение: .prosperous666
Файлы: convinced2.exe
Tor: xxxx://fxn5ao5mmaktpsug.onion/assistance9294637472/
BTC: 1NFpwYEw4DvFrMLaHAV3gP4awuWZe2o4Yw
Результаты анализов: HA+VT

Обновление от 8 сентября 2017:
Пост в Твиттере >>
Расширение: .disposed2017
Записка: PLEASE-README-HOWTO-RECOVERY.html
Tor-URL: fxn5ao5mmaktpsug.onion/existence748563853/
BTC: 1AMEyf3sDK1HtYpCYbiqQ8n7GtXxHwDxM
BTC: 1PNNAA8eD1o6hSp879PKzoakXxyQnx9NiP
Результаты анализов: VT, VT

Обновление от 18 сентября 2017: 
Пост в Твиттере >>
Расширение: .myransext2017
Записка: 005-DO-YOU-WANT-FILES.html
Tor-URL: fxn5ao5mmaktpsug.onion

Обновление от 18 сентября 2017: 

Пост в Твиттере >>
Расширение: .areyoulovemyrans
Записка: 0000-DO-YOU-WANT-FILES. html
Tor-URL: fxn5ao5mmaktpsug.onion

Обновление от 28 декабря 2017:
Пост в Твиттере >>
Расширение: .weapologize
Записка: 0000-SORRY-FOR-FILES.html
0009-SORRY-FOR-FILES.html
Статья от 19 января 2018 >>
Статья от 22 января 2018 >>

ПРЕДПОЛОЖИТЕЛЬНО! 
Обновление от 20 апреля 2018 / Updated April 20, 2018:
Расширение / Extension: .greystars@protonmail.com
Email: greystars@protonmail.com
BTC: 1JnRP8UsTDLRjzCTaJXYPr5oYkKc7bLY2Q
Сумма выкупа / Sum of ransom: 0.08
Записка / Ransom note: HOW-TO-RECOVER-YOUR-FILES.HTML
или How-To-Recover-Your-Files.html

 

Пример записки о выкупе

 

Целевые расширения 

Зашифрованное в директории jboss-4.2.2 GA/bin

Это обновление, как не относящееся к SamSam выделено в отдельную статью Greystars Ransomware. Возможно, что оно будет стёрто. 



Обновление от 6 июля 2019:
Пост в Твиттере >>
Результаты анализов: VT + VT

Обновление от 28 октября 2019:
Пост в Твиттере >>
Расширение: .JayTHL
Записка: FuckYouJayTHL_HELP_ENCRYPTED_FILES.TXT
Email: steamgamer99@gmail.com
BTC: 1LS32VsvWhWU6ud9h3xEDuJzgEbRtBnymE
Результат анализов: VT + AR + IA

Сообщение от 29 ноября 2018: 
В ноябре 2018 года Управление по контролю за иностранными активами (OFAC) Министерства финансов США и Министерство юстиции США предъявили обвинения двум находящимся в Иране лицам Али Хорашадизаде и Мохаммаду Горбаниян. Обвиняемым было предъявлено обвинение в обмене выкупов в биткойнах, полученных в результате вымогательтсва с помощью Samsam Ransomware, на иранский риал и депонировании риала в иранские банки. Хорашадизаде и Горбаниян предоставляли финансовую, материальную или технологическую поддержку для хакерских атак SamSam.
Экспертам OFAC удалось идентифицировать Биткоин-адреса подозреваемых, чуть позже они были обнародованы. Как оказалось, через их кошельки прошло около 7000 биткоинов с транзакциями с 40 крупнейших бирж. Даже с учётом сегодняшней цены криптовалюты это больше 25 миллионов долларов.
Министерство юстиции США подозревает Хорашадизаде и Горбаняна в атаке на 200 сетей в США, Великобритании и Канаде с 2015 года. Руководство одного из госпиталей в Индиане было вынужденно выплатить выкуп мошенникам, чтобы их базы данных вновь заработали.

Таким образом, официальные органы США впервые наложили санкции на адрес кошелька с криптовалютами и впервые попытались привязать адреса к личности отдельных людей. К тому же теперь криптовалюту Хорашадизаде и Горбаняна официально признали собственностью OFAC, подлежащей изъятию. Представители Управления по контролю над иностранными активами США также заверили, что будут пресекать все попытки Ирана использовать цифровые активы, чтобы уйти от санкций.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Write-up, Write-up, Write-up, Write-up
 ID Ransomware
 Topic of Support

 Added later:
SamSam ransomware: controlled distribution for an elusive malware (on June 19, 2018 by MalwareBytes Labs)

 Thanks: 
 авторам статей из раздела "Write-up"
 Michael Gillespie
 MalwareBytes Labs
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private