Petya + Mischa

Petya + Mischa Ransomware

Petya & Mischa Ransomware

Aliases: Green Petya, Petya-2

(шифровальщик-вымогатель, MBR-модификатор)

Этот крипто-вымогатель является тандемом ранее известного крипто-вымогателя Petya и нового — Mischa. Именно Misha шифрует все файлы пользователей с помощью AES, а затем требует выкуп в 1,93380 BTC, чтобы вернуть файлы. Оригинальное название: Mischa Ransomware. 

© Генеалогия: Petya > Petya + Mischa (Petya-2) > GoldenEye, Petna, Bitch 

Обратите внимание на логотип крипто-вымогателя. 
RАИSОМЩАЯЗ - это RANSOMWARE, только с русскими и английскими буквами. Только теперь вместо PETYA написано MISCHA. 

Этимология названия Mischa: 
Братья-вымогатели получили название не от каких-то реальных Пети и Миши, а от киношных советских спутников, которые фигурируют в одном из фильмов об агенте 007 Джеймсе Бонде ("GoldenEye" или "Золотой глаз", 1995). В декабре 2016 появится новый вымогатель. получивший название из того фильма, это GoldenEye Ransomware. GoldenEye по фильму - это название советского космического оружия, частью которого и являются спутники-близнецы. Спутник Petya выходит на орбиту в первой половине фильма, а Mischa во второй половине, ближе к концу фильма. 
Примечательно, что по-английски имя Миша пишется как Misha, а по-немецки Mischa, но фильме на экране монитора указано именно Mischa, и именно так написано название вымогателя в оригинале. 
Порядковое название данной версии: Petya-2 или Petya 2.0

К зашифрованным файлам Mischa добавляет четырёхсимвольное расширение, т.е. .<random{4}>

Примеры расширений: 
.7GP3
.A3BN
.KJP8

Активность этого крипто-вымогателя пришлась на первую половину мая 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: YOUR_FILES_ARE_ENCRYPTED.TXT и YOUR_FILES_ARE_ENCRYPTED.HTML

Содержание записки о выкупе:
You became victim of the MISCHA RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
xxxx://mlschapuk6hyrn72.onion/7RP8fM
xxxx://mischa5xyix2mrhd.onion/7RP8fm
3. Enter your personal decryption code there:
17RP8fM*****

Перевод записки на русский язык:
Вы стали жертвой MISCHA RANSOMWARE!
Файлы на вашем компьютере были зашифрованы с помощью алгоритма шифрования военного класса. Невозможно восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице тёмной сети, указанной на шаге 2.
Чтобы приобрести ключ и восстановить свои данные, выполните следующие три простых действия:
1. Загрузите Tor-браузер со страницы "https://www.torproject.org/".  Если вам нужна помощь, то погуглите для "доступа к onion-сайтам".
2. Посетите одну из следующих страниц с помощью Tor-браузера:
хххх://mlschapuk6hyrn72.onion/7RP8fM
хххх://mischa5xyix2mrhd.onion/7RP8fm
3. Введите ваш личный код дешифрования:
17RP8fM*****


Страницы Tor-сайта вымогателей:

Технические детали

Установщик Petya+Mischa распространяется через фишинговые email-рассылки (email-спам). Письма содержат ссылку на сервис облачного хранения данных, которая содержит фото претендента на работу и исполняемый файл, замаскированный под резюме в формате PDF. На самом деле это исполняемый файл PDFBewerbungsmappe.exe. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Когда жертва по неосторожности запускает этот файл, то сначала в системе пытается получить админ-права и установиться Petya, чтобы изменить MBR, а если это невозможно (потому что права пользователя ограничены или на запрос UAC он ответил "Нет"), то устанавливается шифровальщик Mischa, которому админ-права не нужны. 

Если же пользователь ответит "Да", то всё равно вредонос запустится и установит вредоносный модуль Petya для модификации MBR. Тогда всё произойдет, как ранее описано в статье Petya Ransomware, только на этот раз при загрузке компьютера будет показано стилизованное изображение черепа с костями на зелёно-чёрном фоне. Текст записки о выкупе будет написан зелёными буквами на чёрном фоне. 

Вредоносные действия Mischa Ransomware

При установке Mischa будет сканировать компьютер на наличие определённых файлов, которые будет шифровать с помощью AES-алгоритма, и добавлять к имени файла четырёхсимвольное расширение. Например, файл test.jpg может стать test.jpg.7GP3. Зашифрованный ключ дешифрования будет храниться в конце зашифрованного файла. 

Список файловых расширений, подвергающихся шифрованию Misha Ransomware:
.3dm, .3ds, .3fr, .3g2, .3ga, .3gp, .a2c, .aa, .aa3, .aac, .accdb, .aepx, .ai, .aif, .amr, .ape, .apnx, .ari, .arw, .asf, .asp, .aspx, .asx, .avi, .azw, .azw1, .azw3, .azw4, .bak, .bat, .bay, .bin, .bmp, .camproj, .cat, .ccd, .cdi, .cdr, .cer, .cert, .cfg, .cgi, .class, .cmf, .cnf, .conf, .config, .cpp, .cr2, .crt, .crw, .crwl, .cs, .csv, .cue, .dash, .dat, .db, .dbf, .dcr, .dcu, .dds, .default, .der, .dfm, .directory, .disc, .dll, .dmg, .dng, .doc, .docm, .docx, .dtd, .dvd, .dwg, .dxf, .eip, .emf, .eml, .eps, .epub, .erf, .exe, .fff, .flv, .frm, .gfx, .gif, .gzip, .htm, .html, .ico, .idl, .iiq, .indd, .inf, .ini, .iso, .jar, .java, .jfif, .jge, .jpe, .jpeg, .jpg, .js, .json, .jsp, .k25, .kdc, .key, .ldf, .lib, .lit, .lnk, .localstorage, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mef, .mkv, .mobi, .mov, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpv2, .mrw, .msg, .mts, .mui, .myi, .nef, .nrg, .nri, .nrw, .number, .obj, .odb, .odc, .odf, .odm, .odp, .ods, .odt, .ogg, .orf, .ost, .p12, .p7b, .p7c, .pages, .pas, .pbk, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .po, .pps, .ppt, .pptm, .pptx, .prf, .props, .ps, .psd, .pspimage, .pst, .ptx, .pub, .py, .qt, .r3d, .ra, .raf, .ram, .rar, .raw, .result, .rll, .rm, .rpf, .rtf, .rw2, .rwl, .sql, .sqlite, .sqllite, .sr2, .srf, .srt, .srw, .svg, .swf, .tga, .tiff, .toast, .ts,.txt, .vbs, .vcd, .vlc, .vmdk, .vmx, .vob, .wav, .wb2, .wdb, .wma, .wmv, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xps, .xsl, .yml, .yuv, .zip (240 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Обратите внимание, что среди шифруемых файлов есть EXE-файлы. Это значит, что никакая программа не запустится, но и сама Windows уже не сможет загрузиться. Уплата выкупа бесполезна. 

Misha не шифрует файлы, находящиеся в директориях \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome, по-видимому это нужно, чтобы скрыть своё присутствие до некоторого времени.

Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_ENCRYPTED.HTML
YOUR_FILES_ARE_ENCRYPTED.TXT
PDFBewerbungsmappe.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Коллекция образцов Petya за всё время (см. вкладку "Родство") >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

💫💫💫

Примечание 1.
💀 Примечательно, что оба крипто-вымогателя получили "взрослые" имена Пётр и Михаил только в "Лаборатории Касперского": это Trojan-Ransom.Win32.Petr и Trojan-Ransom.Win32.Mikhail
У других антивирусов они в детекте просто Petya и Mischa. 🙆🙌

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Topic of Support
 Video review, Video review-2

 Thanks: 
 Lawrence Abrams
 CyberSecurity GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Shujin

Shujin Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует документы китайских пользователей, а затем требует 1 биткоин, чтобы вернуть файлы обратно. Другое название: KinCrypt. 

  Записка о выкупе "文件解密帮助.txt" (Help file decryption.txt) помещается на Рабочем столе C:\Users\MMD\Desktop\文件解密帮助.txt . Содержит информацию о том, что случилось с файлами, и подробную инструкцию о том, как вернуть эти файлы.

  Имеется предупреждение от вымогателей: 
Не используйте антивирусное ПО или другие инструменты для проверки ПК и восстановления зашифрованных файлов, потому что антивирус может удалить специальный зашифрованный файл, который нельзя будет восстановить. 

Содержимое инструкции для возврата файлов: 
- скачать и запустить китайскую версию TOR-браузера для подключение к onion-сайту;
- открыть специальный веб-сайт "eqlc75eumpb77ced.onion";
- скопировать машинный код из "Help file decryption.txt";
- отправить оператору вымогателя;
- получить Bitcoin-адрес для уплаты выкупа;
- добыть биткоины согласно инструкции;
- уплатить выкуп на данный Bitcoin-адрес;
- проверить состояние платежа;
- получить ссылку для загрузки декриптера Decrypt.exe;
- получить с его помощью ключ дешифрования;
- ввести этот ключ в специальное поле;
- нажать кнопку "Дешифровать мои файлы". 

 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Symantec: Ransom.Shujin >>
TrendMicro обзор >>

Степень распространённости: высокая. 
Подробные сведения собираются. 

Enigma

Enigma Ransomware

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот крипто-вымогатель шифрует данные с помощью алгоритма AES-128, а затем требует 0.4291 BTC (около $ 200 USD), чтобы вернуть файлы обратно. 

© Генеалогия: Enigma > Enigma 2

Ориентирован на русскоязычные страны, т.к. записка о выкупе написана на русском языке и веб-сайт для выкупа имеет русскоязычный интерфейс. 

Вымогатель Enigma удаляет теневые копии файлов командой:
vssadmin delete shadows / all / quiet

  Enigma Ransomware распространяется через HTML-вложения, содержащие всё необходимое для создания исполняемого файла, сохранения его на жёстком диске и запуска на выполнение. При открытии HTML- вложения запускается браузер и выполняет встроенный JavaScript, который создаёт автономный файл под названием "Свидетельство о регистрации частного предприятия.js".

  Запущенный пользователем скрипт создаёт исполняемый файл с именем 3b788cd6389faa6a3d14c17153f5ce86.exe , автоматически запускающийся на выполнение. Он создаётся из массива байтов, хранящихся в JavaScript-файле.

  После выполнения, исполняемый файл начинает шифрование данные на компьютере жертвы и добавляет к уже зашифрованным расширение .enigma . Например, файл test.jpg примет вид test.jpg.enigma .

 Когда процесс шифрования будет завершен, он выполнит файл %USERPROFILE%\Desktop\enigma.hta , служащий для показа записки о выкупе при каждой загрузке Windows. В нем написано о том, что случилось с файлами и дана ссылка на Tor-сайт для оплаты выкупа.

Содержимое записки о выкупе (на русском):
Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованы алгоритмом AES 128 (Advanced Encryption Standard — Википедия) с приватным ключём, который знаем только мы.
Зашифрованные файлы имеют расширение .ENIGMA. Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.
Если хотите получить файлы обратно:
1) Установите Tor Browser Tor Project: Anonymity Online
2) Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA
3) Перейдите на сайт xxxx//f6lohswy737xq34e.onion в тор-браузере и авторизуйтесь с помощью ENIGMA_ (номер вашего ключа) .RSA
4) Следуйте инструкциям на сайте и скачайте дешифратор.
Если основной сайт будет недоступен попробуйте HTTP: xxxx//ohj63tmbsod42v3d.onion/

В процессе шифрования создаются следующие файлы:

%Temp%\testttt.txt - Файл отладки для решения вопроса с дескриптором и создания исполняемого файла вымогателя.

%AppData%\testStart.txt - Файл отладки, показывающий, что шифрование началось и было успешным.

%UserProfile%\Desktop\allfilefinds.dat - Список зашифрованных файлов.

%UserProfile%\Desktop\enigma.hta - Файл в автозагрузке Windows, служащий для показа записки о выкупе.

%UserProfile%\Desktop\ENIGMA_[id_number].RSA - Уникальный ключ, связанный с ПК жертвы, для входа на сайт оплаты.

%UserProfile%\Desktop\enigma_encr.txt - Текст записки о выкупе.

%UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe - Исполняемый файл вымогателя.

Для уплаты выкупа нужно открыть специальный TOR-сайт, созданный разработчиками-вымогателями. Его адрес находится в записке с требованием выкупа и требует загрузить файл ENIGMA_[id_number].RSA для входа в систему платежа.

Войдя в систему жертва увидит, сколько биткоинов нужно отправить в качестве выкупа, а также Bitcoin-адрес получателя. Этот сайт предлагает жертве расшифровать один файл бесплатно, чтобы доказать, что дешифровка действительно возможна.

Здесь также есть мини-чат поддержки, через который жертва может поговорить с разработчиками вредоноса. После поступления оплаты, будет показана ссылку для загрузки дешифратора.

Список файловых расширений, подвергающихся шифрованию файлов: 
.1cd, .2d, .3dc, .7z, .aes, .asm, .asp, .asp, .aspx, .avi, .bat, .bmp, .bz, .bz2, .bza, .bzip, .bzip2, .cad, .cd, .cdr, .cmd, .cpp, .crt, .csr, .csv, .czip, .dat, .dbf, .dif, .djv, .djvu, .doc, .docb, .docm, .docx, .dwg, .fla, .gif, .gz, .gz, .gz2, .gza, .gzi, .gzip, .hdoc, .html, .hwp, .java, .jpeg, .jpg, .key, .kwm, .lzma, .max, .mdb, .mdb, .mkv, .mml, .mov, .mpeg, .mpg, .MYD, .MYI, .odg, .odp, .ods, .odt, .odt, .otg, .otp, .ots, .ott, .pas, .pem, .php, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .pptx, .psd, .rar, .rtf, .rtf, .slk, .sln, .sql, .sqlite, .sqlite, .sqlite3, .sqlitedb, .sqx, .sqz, .srep, .stc, .std, .sti, .stw, .swf, .sxc, .sxi, .sxm, .sxw, .tar, .taz, .tbk, .tbz, .tbz2, .tg, .tgz, .tif, .tiff, .tlz, .tlzma, .tsk, .tx_, .txt, .txz, .tz, .uc2, .uot, .vbs, .vdi, .wks, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlsx, .xlt, .xltm, .xltx, .xlw, .xz, .zi, .zip, .zip, .zipx, .zix (151 расширение).

Список файловых расширений, подвергающихся удалению файлов: 
.aba, .abf, .abk, .acp, .as4, .asd, .ashbak, .asvx, .ate, .ati, .bac, .bak, .bak, .bak~, .bak2, .bak3, .bakx, .bbb, .bbz, .bck, .bckp, .bcm, .bk1, .bk1, .bkc, .bkf, .bkp, .bks, .blend1, .blend2, .bm3, .bpa, .bpb, .bpm, .bpn, .bps, .bup, .bup, .cbk, .cbu, .ck9, .crds, .da0, .dash, .dba, .dbk, .diy, .dna, .dov, .fbc, .fbf, .fbk, .fbk, .fbu, .fbw, .fh, .fhf, .flka, .flkb, .fpsx, .ftmb, .ful, .fza, .gb1, .gb2, .gbp, .gho, .ghs, .icf, .ipd, .iv2i, .jbk, .jdc, .kb2, .lcb, .llx, .mbk, .mbw, .mddata, .mdinfo, .mem, .mig, .mpb, .mv_, .nb7, .nba, .nbak, .nbd, .nbd, .nbf, .nbf, .nbi, .nbk, .nbs, .nbu, .nco, .nfb, .nfc, .npf, .nps, .nrbak, .nrs, .nwbak, .obk, .oeb, .old, .onepkg, .ori, .orig, .paq, .pbb, .pbj, .qba, .qbb, .qbk, .qbm, .qbmb, .qbmd, .qbx, .qic, .qsf, .rbc, .rbf, .rbk, .rbs, .rdb, .rgmb, .rmbak, .rrr, .sbb, .sbs, .sbu, .skb, .sn1, .sn2, .sna, .sns, .spf, .spg, .spi, .srr, .stg, .sv$, .sv2i, .tbk, .tdb, .tig, .tis, .tlg, .tlg, .tmr, .trn, .ttbk, .uci, .v2i, .vbk, .vbm, .vpcbackup, .vrb, .wbb, .wbcat, .win, .win, .wjf, .wpb, .wspak, .xlk, .yrcbck (168 расширений).

Файлы связанные с Enigma Ransomware:
%Temp%\testttt.txt
%Temp%\b815_appcompat.txt

%AppData%\testStart.txt
%UserProfile%\Desktop\allfilefinds.dat
%UserProfile%\Desktop\enigma.hta
%UserProfile%\Desktop\ENIGMA_807.RSA или ENIGMA_682.RSA - содержит ключ шифрования
%UserProfile%\Desktop\enigma_encr.txt
%UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe

Записи реестра связанные с Enigma Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgram 3b788cd6389faa6a3d14c17153f5ce86.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
MyProgramOk = %Desktop%\enigma.hta
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgramOk %UserProfile%\Desktop\enigma.hta

Сетевые подключения и связи:
xxxx//f6lohswy737xq34e.onion
xxxx//ohj63tmbsod42v3d.onion/

Read to links:
Topic on BC

Write-up

CryptoHitman

CryptoHitman Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: CryptoHitman. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Jigsaw > CryptoHitman

Этимология названия: 
CryptoHitman использует персонаж Hitman из популярных видео-игр и фильмов. Изображение киллера дополняет экран блокировки с порнографическими изображениями.  

К зашифрованным файлам добавляются расширения .porno или .pornoransom

Активность этого крипто-вымогателя пришлась на начало мая 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Your files have been encrypted. We will delete files every hour.
Ransom / Recompensa ID: 10958847
You must pay $150 USD in Bitcoins to the address specified below.
Depending on the amount of files you have your Ransom can double to $300
If you dont pay within 36 hours.
Take a picture of the BTC address, Ransom ID and contact email.
We will delete files everyhour until you pay!
If you do not have Bitcoins visit www.localbitcoins.com to purchase.
Your payment BTC Address is 19a93M9JGX377yfVzWBs4abcUpwLfXsvE
Everytime you restart your computer it recrypts everything. It will take a while for you to see the this screen again. Take a photo in case you want to contact us.
Every time you restart the computer you run the risk of damaging the hard drive.
Questions - email us: cryptohitman@yandex.com

Перевод записки на русский язык:
Ваши файлы были зашифрованы. Мы будем удалять файлы каждый час.
Ransom / Recompensa ID: 10958847
Вы должны заплатить $150 США в биткоинах по указанному ниже адресу.
В зависимости от количества ваших файлов, вы можете удвоить сумму до $300 США, если вы не платите в течение 36 часов.
Сделайте снимок адреса BTC, Ransom ID и контактного email.
Мы будем удалять файлы каждый час, пока вы не заплатите!
Если у вас нет биткоинов, посетите сайт www.localbitcoins.com для покупки.
Ваш платёжный BTC-адрес - 19a93M9JGX377yfVzWBs4abcUpwLfXsvE
Каждый раз, когда вы перезагружаете компьютер, он переписывает все. Вам понадобится время, чтобы снова увидеть этот экран. Сделайте снимок, если вы хотите связаться с нами.
Каждый раз, когда вы перезагружаете компьютер, вы рискуете повредить жесткий диск.
Вопросы - напишите нам: cryptohitman@yandex.com

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Как и Jigsaw этот шифровальщик-вымогатель тоже удаляет файлы при каждом запуске Windows, при перезапуске процесса вымогателя и когда таймер досчитает до нуля.

Основные отличия CryptoHitman от Jigsaw:
- использование порнографического экрана;
- использование игрового персонажа Hitman;
- использование расширений .porno и .pornoramsom;
- новые имена исполняемых файлов вымогателя.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
папка \Suerdf\ и файл suerdf.exe
папка \Mogfh\ и файл mogfh.exe
папки \System32Work\ и \dr\
Address.txt
EncryptedFileList.txt

Расположения:
%LocalAppData%\Suerdf\
%LocalAppData%\Suerdf\suerdf.exe
%AppData%\Mogfh\
%AppData%\Mogfh\mogfh.exe
%AppData%\System32Work\
%AppData%\System32Work\Address.txt
%AppData%\System32Work\dr
%AppData%\System32Work\EncryptedFileList.txt

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\mogfh.exe    %AppData%\Mogfh\mogfh.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cryptohitman@yandex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать JigsawDecrypter для дешифровки >>

Для расшифровки файлов по горячим следам сначала нужно прекратить процессы 
%LocalAppData%\Suerdf\suerdf.exe и %AppData%\Mogfh\mogfh.exe в диспетчере задач. 
Затем нужно запустить MSConfig и отключить автозапуск для этих исполняемых файлов.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoHitman)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BitCryptor

BitCryptor Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует 1 BTC, чтобы вернуть файлы обратно. 

© Генеалогия: CoinVault > BitCryptor 

К зашифрованным файлам добавляется расширение .clf. 

Вероятно является приемником CoinVault, т.к. основной дизайн экрана консоли вымогателя очень похож на используемый ранее CoinVault. Распространяется с мая 2015 г. 

  Основным исполняемым файлом является bclock.exe, добавляющийся в автозагрузку Windows, чтобы заменять обои на Рабочем столе на изображение с сообщением "Your files have been encrypted" (Ваши файлы зашифрованы). 

  Консоль вымогателя, выступающая поверх всех окон, содержит подробную информацию о том, то случилось с файлами, и инструкции о том, как вернуть файлы. После истечении 96 часов, выделенных на уплату выкупа, его сумма будет увеличена на 1 Bitcoin. Имеются кнопки для просмотра всех зашифрованных файлов и дешифровки одного файла. Каждому зараженному ПК даётся уникальный Bitcoin-адрес. Жертвы должны выкупить ключи дешифровки, которые потом надо будет ввести в соответствующих полях, чтобы запустить дешифровку.

  По функционалу и выполняемым задачам BitCryptor сложнее своего предшественника CoinVault, т.к. умеет завершать процессы Windows, такие как cmd, msconfig, regedit и taskmgr. Удаляет тома теневых копий файлов, чтобы затруднить их восстановление. 

  BitCryptor Ransomware распространяется, как и другие крипто-вымогатели, главным образом, как вредоносное вложение в email, или посредством ссылки на вредоносный сайт, размещенной в фишинг-письме. При шифровании действует избирательно, не обрабатывая системные директории: Windows, Program Files, Temp, All Users, Downloads. Такой подход, вероятно, призван сократить используемые ресурсы ПК и затруднить обнаружение антивирусными средствами. 

BitCryptor завершает любой процесс, который содержит следующие слова: 
shadow, cmd, processhacker, mbam, sh4, spyhunter, msconfig, taskmgr, roguekiller, rstrui, regedit, procexp

  Список файловых расширений, подвергающихся шифрованию: 
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

Файлы связанные с BitCryptor Ransomware:
bclock.exe
%UserProfile%\sfile
%UserProfile%\filelist.locklst
%Temp%\wallpaper.jpg
%Temp%\BitCryptorFileList.txt

Записи реестра связанные с BitCryptor Ransomware:
HKEY..\..\..\..{Subkeys}
HKEY_CURRENT_USER \Control Panel\Desktop\Wallpaper "%Temp%\wallpaper.jpg"
HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\RunOnce\*BitC "%UserProfile%\bclock.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\BitC "%UserProfile%\bclock.exe"


Степень распространённости: низкая.
Подробные сведения собираются регулярно. 

© Amigo-A (Andrew Ivanov): All blog articles. 

Brazilian

Brazilian (Able) Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует 2000 реалов (543.88 USD), чтобы вернуть файлы обратно. Зашифрованные файлы получают расширение .lock. 

  © Генеалогия: EDA2 >> Brazilian (Able) — cоздан на основе EDA2. 

Записки с требованием выкупа и вспомогательные файлы для информирования жертвы называются: 
MENSAGEM.txt 
text.txt
win.txt
ran.jpg

файл ran.jpg

файл MENSAGEM.txt 

 

файл text.txt

 

файл win.txt

По ссылкам в файле MENSAGEM.txt открываются веб-страницы со следующим содержанием:
Olá Sr(a),
TODOS os seu arquivos foram BLOQUEADOS e esse bloqueio somente serão DESBLOQUEADOS caso pague um valor em R$ 2000,00 (dois mil reais) em BitCoin.
Após o pagamento desse valor, basta me enviar um print para o email contato@vkcode.ru 
que estarei lhe enviado o programa com a senha para descriptografar/desbloquear o seus arquivos.
Caso o pagamento não seja efetuado, todos os seus dados serão bloqueados permanentemente e o seu computador será totalmente formatado(perdendo assim, todas as informações contidas nele, incluindo senhas de email, bancárias...)
O pagamento deverá ser efetuado nesse endereço de bitcoin: 1CF6M1---обрезано---
Para converter seu saldo em bitcoin acesse o site: xxxxs://www.mercadobitcoin.com.br/conta/register/
Após cadastrar basta seguir o processo na aba de depósito, após depositar o seu dinheiro aparecerá a opção para converter em bitcoin e então basta enviar o dinheiro para minha carteira: 1CF6M1---обрезано---
Qualquer dúvida acesse: xxxxs://www.mercadobitcoin.com.br/faq/
Ou assista um vídeo explicativo: xxxxs://www.youtube.com/watch?v=GYMQuAKz_No

Перевод на русский: 
Привет Сеньор(а)
Все ваши файлы зашифрованы и будут разблокированы только в случае уплаты R$ 2000,00 (2000 реалов) в Bitcoin.
После оплаты этой суммы, просто пришлите мне распечатку на email contato@vkcode.ru 
Я пришлю программу с паролем для расшифровки/разблокировки файлов.
Если оплата не поступит, все ваши данные будут заблокированы навсегда, а диски отформатированы...
Оплата должна быть произведена на Bitcoin-адрес: 
---адрес---скрыт---
Для преобразования баланса в Bitcoin посетите: xxxxs://www.mercadobitcoin.com.br/conta/register/
После регистрации следите за процессом оплаты, вскоре появится возможность конвертировать деньги в Bitcoin, а затем просто отправить деньги в Bitcoin-кошелек:
---адрес---скрыт----
По любым вопросам, пожалуйста, посетите: xxxxs://www.mercadobitcoin.com.br/faq/
Или просмотрите видео-помощь: xxxxs://www.youtube.com/watch?v=GYMQuAKz_No

Технические детали

  Распространяется с помощью поддельного обновления Adobe Flash Player и фишинг-писем со ссылкой на зараженный сайт, где ПК атакуется с помощью этого поддельного обновления. 


  Вымогатель начинает работу в скрытом режиме (его процесс не отображается в диспетчере задач), создает копию себя able.exe в директории пользователя, генерируется имя и пароль для шифрования файлов, длина ключа составляет 15 буквенно-цифровых символов, которые хранится в файлах text.txt (имя_компьютера + имя_пользователя + пароль) и win.txt (пароль) соответственно.

Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений). 


Файлы связанные с Brazilian Ransomware:
файл text.txt - создается в той же папке, откуда был запущен исполняемый файл вымогателя; 
C:\Users\User_Name\win.txt - файл для хранения пароля шифрования;
C:\Users\User_Name\able.exe - копия исполняемого файла вымогателя;
C:\Users\User_Name\ran.jpg - замена обоев на Рабочем столе; 

C:\Users\User_Name\Desktop\MENSAGEM.txt - краткое текстовое сообщение с извещением о том, что файлы зашифрованы и требованием посетить одну из трёх веб-страниц для получения подробной информации, например, эту http://pastebin.com/raw/j9zCCu8n. 

Сетевые подключения и связи:
Email: contato@vkcode.ru

Степень распространенности: средняя по Бразилии.
Подробные сведения собираются. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Brazilian Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AutoLocky

AutoLocky Ransomware

   Этот криптовымогатель шифрует данные с помощью алгоритма AES-128 и требует 0.75 биткойнов за расшифровку. Кроме того, он пытается выдавать себя за известный вымогатель Locky и даже добавляет расширение .Locky к зашифрованным файлам, но при ближайшем рассмотрении оказывается не тем, за кого себя выдает. 

  Во-первых, записка с требованием выкупа совсем иная. Во-вторых, Tor для C&C-серверов не используется. В-третьих, вымогатель был создан в AutoIt, а не в Visual C ++. И, наконец, этот криптовымогатель не пытается удалять тома теневых копий на зараженном ПК.

 В отличие от реального криптовымогателя Locky, AutoLocky не изменяет базовое имя файла. Если файл с именем picture.jpg зашифрован, AutoLocky переименует его в picture.jpg.locky, а реальный Locky переименовал бы его случайным именем. Кроме того, записки с требованием выкупа - файлы info.txt или info.html - помещаются на Рабочем столе.

  Метод шифрования AutoLocky 
Пока неизвестно, как крипто-вымогатель AutoLocky распространяется. Значок подражает значку Adobe PDF, поэтому вероятно, он распространяется через email-вложения. 
После установки AutoLocky сканирует все диски ПК с поисках файлов определённых расширений, чтобы зашифровать их с помощью алгоритмов AES-128 и RSA-2048. Когда файл зашифрован, вымогатель добавляет расширение .locky к его имени.

Когда крипто-вымогатель закончит шифрование файлов, он создаст вымогательские записки Info.html и info.txt на рабочем столе. После чего загружает ключ шифрования на C&C-сервер, расположенного по адресу crazyloading.cc

Список файловых расширений, подвергающихся шифрованию AutoLocky:

.3ds, .3fr, .3pr, .7z, .accdb, .accde, .accdr, .accdt, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .awg, .backup, .backupdb, .bdb, .bik, .blend, .bmp, .c, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cgm, .cib, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .csh, .csl, .css, .csv, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddoc, .ddrw, .der, .design, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .fff, .fh, .fhd, .fpx, .fxg, .gray, .grey, .gry, .h, .hpp, .ibd, .ibz, .idx, .iiq, .incpas, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mos, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .rar, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .sxc, .sxd, .sxg, .sxi, .sxw, .txt, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .zip (217 расширений).

 Файлы, связанные с AutoLocky Ransomware:
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk
%UserProfile%\Desktop\info.html
%UserProfile%\Desktop\info.txt

Сетевые подключения и связи:
C&C-сервер: crazyloading.cc

Степень распространённости: высокая. 
Подробные сведения собираются.

ВНИМАНИЕ!

Для зашифрованных файлов есть декриптер

Скачать декриптер и дешифровать >>
*

Bucbi

Bucbi Ransomware 

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей с помощью ГОСТ-28147-89, а затем требует выкуп в 0,5 биткоинов или меньше (например, 0.00896 биткоинов), чтобы вернуть файлы. Сумма выкупа может быть и 5 биткоинов, если был скомпрометирован сервер компании. На уплату выкупа даётся 72 часа. Название оригинальное. 

© Генеалогия: Bucbi 2014 > Bucbi 2016.

К зашифрованным файлам никакое расширение не добавляется. Оригинальные название и расширение у зашифрованных файлов не меняются. 

Более ранние варианты распространялись в конце 2013 - в 2014 году. Активность этого варианта крипто-вымогателя Bucbi пришлась на апрель-май 2016 г., но новые образцы были замечены в октябре и ноябре 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Распространение шло из Украины, но кем бы не был создан и/или модифицирован данный вымогатель, это только лишний раз подтверждает, что у киберпреступников нет ни национальности, ни родины. 

Записки с требованием выкупа называются: README.txt

Содержание записки о выкупе:
We are members of Ukrainian Right Sector.
You are taking money wolrdwide until we are fighting with world's evil into the East of our Motherland.
To decrypt files you need to obtain a private key.
You have to transfer 5 btc into the our account 1Mfvklut*** for us.
Also you have to send message for us to e-mali: dopomoga.rs@gmail.com.
After it you'll get the cryptokey for decrypt your files.
Regards.
Your defenders.

Перевод записки на русский язык:
Мы являемся членами украинского правого сектора.
Вы имеете деньги со всего мира, пока мы боремся ***.
Для расшифровки файлов вам необходимо получить закрытый ключ.
Вы должны передать 5 в BTC на наш кошелек 1Mfvklut ***.
Кроме того, вы должны отправить письмо на e-mali: dopomoga.rs@gmail.com
После этого вы получите крипто-ключ для расшифровки файлов.
С уважением.
Ваши защитники.

Текст о выкупе также дублируется в блокировщике экрана.

 

Методы распространения версии 2016 года: брутфорс-атака по RDP (протокол удаленного рабочего стола) с помощью утилиты RDP Brute и уже в меньшей степени с помощью эксплойтов или фишинг-писем (ранее зараженные email-вложения и эксплойты на взломанных сайтах использовались в большей степени). Наблюдается ориентированность на корпоративные серверы и банковский сектор.

Список файловых расширений, подвергающихся шифрованию:
.3fr , .accdb, .arw, .bay, .bmp, .cdr, .cer, .chm, .cpp, .cr2, .crt, .crw, .csv, .cxx, .dbf, .dcr, .der, .djvu, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .fb2, .gif, .img, .indd, .jpe, .jpeg, .jpg, .kdc, .mdb, .mdf, .mef, .mht, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .pht, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .rar, .raw, .rtf, .rw2, .rwl, .sr2, .srf , .srw , .sxw , .tif , .txt , .wb2 , .wpd , .wps , .x3f , .xlam , .xlk , .xls , .xlsb , .xlsm , .xlsx , .xltm , .xltx , .zip (90 расширений). 

Файлы шифруются на локальных и сетевых дисках, если они подключены. 

Файлы, связанные с Bucbi Ransomware:
ukraine.exe
README.txt
C:\ProgramData\<random_letter_name>
C:\Documents and Settings\<USER>\Local Settings\Application Data\<random_letter_name>
C:\Documents and Settings\<USER>\Local Settings\Application Data\<random_name>.exe
C:\Documents and Settings\All Users\<random_letter&numeral_name>.log 

Записи реестра, связанные с Bucbi Ransomware:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run       value: "@"

Сетевые подключения и C&C-серверы:
bbb.bth.in.ua
shalunishka12.org
ceckiforeftukreksyxomoa.org
87.249.215.196
chultolsylrytseewooketh.biz

Результаты анализов:
VirusTotal анализ 4 апреля 2016 >>
VirusTotal анализ 25 апреля 2016 >>
Гибридный анализ 26 октября >>
VirusTotal анализ 26 октября >>
VirusTotal анализ 7 ноября >>


Степень распространённости: средняя.
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Старый вариант:
Штамп времени: 30 декабря 2013
URL Malware: xxxx://bbb.bth.in.ua/
Файл: FileCrypt.exe

Результаты анализов: VT

Обновление от 6 июля 2016:
Новая записка о выкупе: readme.txt
Тема на BC >>
Скриншот записки: 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Palo Alto Networks
 Microsoft Threat Encyclopedia
 *
 *

 Thanks: 
 Palo Alto Networks
 Andrew Ivanov, Gruja
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoFortress

CryptoFortress Ransomware

(шифровальщик-вымогатель)

  Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует 1 Bitcoin, чтобы вернуть файлы обратно. Шифрование производится 256-битным ключом AES в ECB-режиме. Криптовымогатель генерирует этот уникальный ключ для каждой сессии, используя криптографический API-интерфейс Windows, добавляет некоторые данные о зараженной системе, а затем шифрует публичным RSA 1024, взятым из конфигурационного файла (вшитого как ресурс RCDATA). К имени каждого зашифрованного файла добавляется расширение .frtrss. 

Известен с марта 2015 года, как модифицированный TorrentLocker. 

  CryptoFortress распространяется с помощью набора эксплойтов Nuclear. После запуска CryptoFortress сканирует ПК в поисках целевых расширений и начинает шифрование файлов на локальных, съемных и сетевых дисках. Список целевых расширений довольно обширен. В отличие от TorrentLocker, с корорым он схож, CryptoFortress не пытается установить соединение с С&С-сервером во время процесса шифрования. В общем, различия между CryptoFortress и TorrentLocker есть лишь в мелких деталях. 

  В папках с зашифрованными файлами создается файл READ IF YOU WANT YOUR FILES BACK.html (Прочтите, чтобы свои файлы вернуть). 

  Он содержит инструкцию по разблокировке, а также шифрованный ключ, который будет в качестве «кода» передан на Tor-сайт злоумышленников, если жертва согласится платить. Завершив шифрование, CryptoFortress отображает пользователю страницу с требованием выкупа и инструкциями. Веб-страница для оплаты размещена в сети Tor. 

 По завершении шифрования CryptoFortress уничтожает все тома теневых копий файлов, чтобы восстановление копий файлов из них стало невозможным, командой:
vssadmin delete shadows /all /quiet

Степень распространённости: низкая.
Подробные сведения собираются.