Если вы не видите здесь изображений, то используйте VPN.

среда, 25 мая 2016 г.

ECLR

ECLR Ransomware

(шифровальщик-вымогатель)


 Этот криптовымогатель шифрует данные пользователей, а затем требует выкуп в 100 биткоинов. Это может быть показателем ориентированности криптовымогателя на организации и коммерческий сектор. Зашифрованные файлы получают расширение .eclr.

После того, как файлы будут зашифрованы, ECLR Ransomware удаляет теневые копии файлов и отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, и требует перевести деньги в Bitcoin. На уплату выкупа даётся всего 48 часов. Торг неуместен. В каждой папке с зашифрованными файлами размещается записка о выкупе README_IMPORTANT.txt и специальный файл secret.key

Содержание записки о выкупе:
YOUR FILES ARE FULLY ENCRYPTED
MAKE THE PAYMENT OF 100 BITCOINS TO THE BTC ADDRESS BELOW
3KHkWFDX9PDsaFRtrDKBGYd41HZWTu2L21
AFTER WE RECEIVE THE PAYMENT THE DECRYPTION PROGRAM AND KEY WILL BE SENT TO YOUR EMAIL
THE DECRYPTION PROGRAM WILL RESTORE YOUR FILES BACK TO NORMAL.
7399@sigaint.org
TO ASSURE YOU WE CAN RESTORE YOUR FILES, WE WILL DECRYPT A SINGLE FILE YOU SEND US.
## YOU HAVE 48 HOURS TO SAVE YOUR FILES ##
CONTACT US ONLY AFTER MAKING THE PAYMENT,
ALL PRICE NEGOTIATIONS WILL BE IGNORED
THE ABOVE EMAIL ADDRESS WILL EXPIRE AFTERWARDS AND NO COMMUNICATIONS WILL BE AVAILABLE

Перевод на русский язык:
Ваши файлы зашифрованы
Сделайте оплату 100 Bitcoins на Bitcoin-адрес
3khkwfdx9pdsafrtrdkbgyd41hzwtu2l21
По получения компенсации дешифровщик и ключ придут на ваш email
Дешифровщик восстановит ваши файлы обратно в норму.
7399@sigaint.org
Для гарантии, что файлы можно вернуть, мы дешифруем 1 ваш файл.
## У вас 48 часов для возврата файлов ##
Контакт с нами только после оплаты,
Все попытки торга проигнорируются
Вышеуказанный email-адрес после этого будет недоступен

Этот вымогатель шифрует множество типов файлов, среди них, разумеется, изображения, фотографии, аудио, видео и документы. 

Степень распространенности: неизвестна.
Подробные сведения собираются. 

вторник, 24 мая 2016 г.

RemindMe

RemindMe Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2 биткоина. Файлы могут быть расшифрованы только при помощи секретного ключа, который хранится на C&C-серверах RemindMe. На оплату выкупа даётся 5 дней, а если он не уплачен в срок, секретный ключ будет удален. Название придумано его создателями: "RemindMe" переводится с английского как "Напомни мне". 

Зашифрованные файлы получают расширение .remind или .xcrypt

Записки с требованием выкупа и инструкциями называются: 
DECRYPT_YOUR_FILES.HTML
decypt_your_files.html
decypt_your_files.txt 

Содержание записки о выкупе:
All your files have been encrypted with the RemindMe Ransomware
Your unique GUID for decrypt: -
Send me some 2 bitcoin on address: -
After confirming the payment, all your files can be decrypted. If you do not make payment within 5 days, you will lose the ability to decrypt them AND ALL YOUR FILES HAVE BEEN DELETED. 
Make your Bitcoin Wallet in hxxps://www.coinbase.com/ or hxxp://blockchain.info
How to buy/sell and send Bitcoin:
1) xxxps://support.coinbase.com/customer/en/portal/topics/796521-payment-method-vertification/articles
2) xxxps://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
3) xxxps://support.coinbase.com/customer/en/portal/topics/60112-sending-receiving-bitcoin/articles
After the payment, snd the wallet from which paid and you uniq ID to mail: [email protected]
After receiving the payment, we will contact and give you decryption tools and faq how to decrypt your files.

Перевод на русский язык:
Все ваши файлы были зашифрованы RemindMe Ransomware
Ваш уникальный GUID для дешифровки: ----- 
Отправьте мне 2 биткоина по адресу: ----- 
После подтверждения оплаты, все файлы могут быть расшифрованы. Если вы не платите 5 дней, то лишаетесь возможности расшифровывать их И ВСЕ ВАШИ ФАЙЛЫ БУДУТ УДАЛЕНЫ. 
Сделайте Bitcoin-кошелек в hxxps: //www.coinbase.com/ или hxxp: //blockchain.info
Как купить/продать и отправить Bitcoin:
1) xxxps://support.coinbase.com...
2) xxxps://support.coinbase.com...
3) xxxps://support.coinbase.com...
После оплаты, пришлите номер кошелька, из которого вы платили и ID на почту: -----
Получив оплату, мы свяжемся с вами, дадим декриптер и FAQ, как дешифровать файлы.


Технические детали

Распространяется RemindMe с помощью email-спама, фишинг-рассылок, эксплойтов на зараженных сайтах. 


➤ После того, как файлы будут зашифрованы, RemindMe удаляет теневые копии файлов и отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, даёт инструкции о том, как перевести деньги в Bitcoin, как потом произвести оплату на Bitcoin-кошелёк вымогателей и получить декриптер для дешифровки файлов.   

 Удаляет теневые копии файлов с помощью команды:
vssadmin delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
.adi, .adt, .altr, .arw, .asmx, .asp, .aspx, .csv, .doc, .docx, .dwf, .jpg, .html, .msg, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .qbb, .rpt, .sldprt, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT_YOUR_FILES.HTML
decypt_your_files.html
decypt_your_files.txt 
RemindMe.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов: 
Hybrid анализ >>
VirusTotal анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Mosh
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ZCrypt

ZCrypt Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные с помощью алгоритма RSA-2048, а затем требует выкуп в 1.2 биткоина. Если выкуп не уплачивается в течение 4-х дней, то сумма возрастает до 5 биткоинов. 

© Генеалогия: ZCrypt. Начало.

Зашифрованные файлы получают расширение .zcrypt 

Записка с требованием выкупа называется How to decrypt files.html (Как расшифровать файлы). 

Содержание записки: 
ALL YOUR PERSONAL FILES ARE ENCRYPTED
All your data (photos, documents, database, ...) have been encrypted with a private and unique key generated for this computer. It means that you will not be able to access your files anymore until they're decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.
The payment has to be done in Bitcoin to a unique address that we generated for you, Bitcoins are a virtual currency to make online payments. If you don't know how to get Bitcoins, you can google "How to Buy Bitcoins" and follow the instructions.
YOU ONLY HAVE 4 DAYS TO SUBMIT THE PAYMENT! When the provided time ends, the payment will increase to 5 Bitcoins. Also, if you don't pay in 7 days, your unique key will be destroyed and you won't be able to recover your files anymore.
To recover your files and unlock your computer, you must send 1.2 Bitcoin (500$), to the next Bitcoin address:
Click Here to Show Bitcoin Address
WARNING!
DO NOT TRY TO GET RID OF THIS PROGRAM YOURSELF. ANY ACTION TAKEN WILL RESULT IN DECRYPTION KEY BEING DESTROYED. YOU WILL LOSE YOUR FILES FOREVER. ONLY WAY TO KEEP YOUR FILES IS TO FOLLOW THE INSTRUCTIONS.
If above bitcoin address didn't work use default address to decrypt data(***)


Перевод записки на русский язык:
ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Все ваши данные (фотографии, документы, базы данных...) были зашифрованы с уникальным ключом, сгенерированным для этого ПК. Это означает, что вы не сможете получить доступ к файлам, пока они зашифрованы. Секретный ключ хранится на наших серверах, и единственный способ получить ключ дешифрования, это сделать оплату.
Платеж должен быть сделан в Bitcoin на уникальный адрес, который мы сгенерировали для вас, Bitcoin является виртуальной валютой для онлайн-платежей. Если вы не знаете, как получить биткоины, ищите в Google "Как купить Bitcoins" и следуйте инструкциям.
У ВАС ЕСТЬ ТОЛЬКО 4 ДНЯ, ЧТО ЗАПЛАТИТЬ! Когда это время закончится, сумма выкупа увеличится до 5 Bitcoin. Если вы не платите 7 дней, ваш уникальный ключ будет уничтожен, и вы уже не сможете восстановить файлы.
Чтобы вернуть файлы и разблокировать ПК, вы должны прислать 1.2 Биткоина ($500) на следующий Bitcoin-адрес:
Нажмите здесь, чтобы показать Bitcoin-адрес
ПРЕДУПРЕЖДЕНИЕ!
НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ САМОСТОЯТЕЛЬНО. ЛЮБОЕ ДЕЙСТВИЕ ПРИВЕДЕТ К УНИЧТОЖЕНИЮ КЛЮЧА ДЕШИФРОВАНИЯ. ВЫ ПОТЕРЯЕТЕ ВАШИ ФАЙЛЫ НАВСЕГДА. ЕСТЬ ТОЛЬКО ОДИН СПОСОБ СОХРАНИТЬ ФАЙЛЫ — СЛЕДОВАТЬ ИНСТРУКЦИЯМ.
...

Cписок файловых расширений, подвергающихся шифрованию:
.3dm, 3ds, .3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c, .cas, .cbr, .cdr, .cer, .cfr, .cgi, .class, .conf, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .d3dbsp, .das, .dazip, .db, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eml, .emlx, .epk, .eps, .erf, .esm, .ff, .fla, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .gz, .h, .hkdb, .hkx, .hplg, .html, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .log, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mbx, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mkv, .mlx, .mov, .mp4, .mpeg, .mpqge, .mrw, .mrwref, .msg, .ncf, .nef, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkg, .pkpass, .pl, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .pub, .py, .qdf, .qic, .r3d, .raf, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sh, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .swf, .syncdb, .t12, .t13, .tar, .tax, .tor, .trc, .txt, .upk, .vb, .vcf, .vcxproj, .vdf, .vfs0, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xxx, .zip, .ztmp (234 расширения).

Сначала сообщалось о 88 файловых расширений, которые атакует этот шифровальщик, потом их уже насчитывалось 125, а в нашем списке их сначала было уже 195, а в июне уже 234. Это не предел, т.к. создатели ZCrypt продолжают расширять количество расширений.

Сбор информации по форумам показал, что ранее, в марте этого года, ZCrypt использовался для атак на русскоязычных пользователей, при этом был другой вариант записки с требованием выкупа на русском и английском языках. В папках с зашифрованными файлами была более краткая записка на русском языке под названием !ИНСТРУКЦИЯ!.html

Записка с требованием выкупа:
ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048! 
Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов. 
Попытки самостоятельной расшифровки могут привести к безвозвратной порче данных! 
В письме укажите также ваш ID - 30325B37732E383xxxxx|01|V1"



Технические детали

  Распространяется ZCrypt с помощью email-спама, макросов-загрузчиков в документах MS Office, фишинг-рассылок, эксплойтов на зараженных сайтах, выдаёт себя за загрузчики популярных программ и фальшивые обновления для Flash Player. Вполне возможно его распространение и с помощью сетей общего доступа, кейгенов, активаторов и краков. Пик пострадавших от ранней версии в Рунете пришелся на март 2016 года, добавляемые к зашифрованным файлам расширения могли различаться. Новая майская версия ориентирована на гораздо больший захват ПК во всем мире. 

  Наиболее комфортная работа ZCrypt установлена в Windows 7, тогда как в Windows XP что-то может вообще не работать. Это объясняется тем, что в более старых операционных системах не существует нужная шифровальщику системная функция. 

   Примечательно, что у нынешнего ZCrypt замечено поведение, схожее с сетевыми червями. Т.е. он может распространяться самостоятельно, заражая все доступные цели и копировать себя на портативные устройства. Аналитики Trend Micro тоже классифицировали ZCrypt как червя

  Таким образом, ZCrypt является одним из первых крипточервей и саморазмножающихся шифровальщиков, и потому крайне опасен. Ранее, год назад, как саморазмножающийся вирус-шифровальщик проявил себя VirLock


Файлы, связанные с этим Ransomware:
How to decrypt files.html 
!ИНСТРУКЦИЯ!.html или ИНСТРУКЦИЯ!.txt
zcrypt.exe (или system.exe) 
zcrypt.lnk
btc.addr - биткоин-адрес
cid.txt - ID компьютера
public.key - открытый ключ
autorun.inf
<random>.exe
<random>.tmp

Расположения:
C:\Users\User\AppData\Roaming\zcrypt.exe 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: очень высокая
Подробные сведения собираются.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Фактически дополнение от Check Point от 6 июня 2016:
Zcrypt может заразить ПК через USB, создав autorun.inf и автоматически запустив файл invoice.exe, когда USB-ключ подключен. Zcrypt не удаляет теневые копии, не удаляет собственный исполняемый файл и не выполняет обход всех каталогов для поиска файлов для шифрования. Для этого сначала используется описание папки оболочки реестра для поиска интересующих папок без запроса самой файловой системы, а затем он отслеживает изменения в файловой системе, шифруя любой новый файл, добавляемый или изменяемый в системе.

Для распаковки своего DLL-файла Zcrypt использует NSIS (Nullsoft Scriptable Install System), известный способ, широко используемый легитимными и вредоносными программами. Для распаковки DLL-ки вредонос запускает свою копию и динамически загружает DLL из начального вызывающего процесса, создавая очень широкое дерево выполнения, за которым трудно следить. DLL удаляется сразу после использования и создается снова столько раз, сколько требуется. Этот процесс может повторяться более тысячи раз.
Ссылка >>


Обновление от 14 июня 2016: 
Статья от Malwarebytes Labs >>



Старый вариант, найденный от 13 апреля 2020:
На самом деле это русскоязычный вариант из апреля 2016:
Пост в Твиттере >>
Расширение: .zcrypt
Записка (на русском): !ИНСТРУКЦИЯ!.txt
Email: flsunlocker@yahoo.com
Результаты анализов: VT + IA
Штамп даты создания: 14 апреля 2016. 


➤ Содержание записки:
ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048! Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов, попытки самостоятельной расшифровки могут привести к безвозвратной порче данных! в письме укажите также ваш ID - 
***




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ZCrypt)
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 TrendMicro, MalwarebytesLabs
 BleepingComputer, Michael Gillespie
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 23 мая 2016 г.

ODCODC

ODCODC Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот криптовымогатель шифрует данные якобы с помощью алгоритма RSA-2048. На самом деле используется алгоритм XOR. Сумма выкупа называется индивидуально в ответном письме — 1 BTC или 25000 рублей. Зашифрованные файлы получают расширение .odcodc, которое дополняется почтовым адресом вымогателей.

Пример зашифрованного файла:
C-email-<email_address>-<original_filename>.odcodc
C-email-abennaki@india.com-Chrysanthemum.jpg.odcodc

Записка с требованием выкупа и с инструкциями для уплаты выкупа readthis.txt добавляется в каждую папку с зашифрованными файлами. 

Вот её буквальное содержание: 

Your personal files are encrypted!
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048. https://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you cant restore them.
What to do?
We can recover your files. You can trust us, for proof of this we can decrypt some your files for free.
How to contact you?
Write us to email: abennaki@india.com

Ваши персональные файлы зашифрованы!
Что случилось с файлами?
Все ваши файлы зашищены криптостойким алгоритмом RSA-2048. https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Что это значит?
Это значит, что структура и содержимое ваших файлов потерпили необратиме изменения, вы не можете с ними работать, читать или видеть, это тоже самое, что потерять их бесповоротно, но, с нашей помощью, вы можете их все восстановить.
Что мне делать?
Мы можем полностью восстановить доступ к вашим файлам. Вы можете нам доверять, доказать честность и серьезность наших намерений мы можем бесплатной расшифровкой нескольких файлов.
Как с вами связаться?
Напишите нам на почту: abennaki@india.com

Your PCID:: WIN-F9KR5MHB5C0706219416

Примечательно, что записка написана сразу на английском и русском, но в тексте есть фразы, корявость которых среди остального теста выглядит довольно подозрительно. Например, слово "зашищены" и фраза "потерпили необратиме изменения". Другой email, встречающийся в других записках - transcript@india.com. При этом потерпевшие сообщали, что у них записка о выкупе была только на английском языке. 

Ответ от abennaki@india.com пострадавшему от шифрования:
Здравствуйте. Розшифровка файлов 25000 руб. для гарантии могу розшифровать пару файлов.

Вывод: Вымогатели, создавшие вредонос — украинцы, т.к. используют слова "розшифровка" и "розшифровать" вперемежку с русскими. 

В других регионах записка о выкупе есть также на других языках, в том числе на английском и китайском, в последнем сделанная системой автоматического перевода Google. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, в том числе под видом инсталлятора VMware Workstation.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .7z, .accdb, .accdc, .accde, .accdr, .accdt, .act, .adp, .ai, .arw, .asf, .asm, .asp, .asx, .avi, .backup, .bak, .bay, .bdb, .bik, .blend, .bmp, .c, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cfg, .cgm, .ckp, .class, .cpp, .cr2, .cs, .csv, .db, .db3, .dbf, .dc2, .dcs, .ddoc, .dds, .design, .dgc, .djvu, .doc, .docm, .docx, .dot, .dotx, .drw, .dt, .dwg, .dxb, .dxf, .eps, .erf, .fdb, .flac, .fpx, .h, .hbk, .hpp, .iiq, .indd, .java, .jpe, .jpeg, .jpg .kdc, .key, .m4v, .max, .mdb, .mdf, .mos, .mov, .mp3, .mp4, .mpg, .myd, .nrw, .ns2, .ns3, .ns4, .nyf, .obj, .odb, .ods, .odt, .orf, .otg, .ott, .pages, .pas, .pcd, .pct, .pdb, .pdd, .pdf, .pfx, .php, .pl, .pps, .ppt, .pptm, .pptx, .ps, .psd, .ptx, .py, .r3d, .rar, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .sdf, .sql, .sqlite, .sqlilte3, .sqlitedb, .sr2, .srw, .stw, .stx, .svg, .swf, .sxd, .sxg, .sxw, .tex, .tga, .thm, .txt, .vdb, .veg, .wmv, .wpd, .wps, .x3f, .xls, .xlsm, .xlsx, .zip (152 расширения). 

Новый список (от 30 августа 2016):
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accdc, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfp, .cgm, .cib, .ckp, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db, .db_journal, .db3, .dbf, .dbf, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotx, .drf, .drw, .dt, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fpx, .ful, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jpe, .jpeg, .jpg, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .obj, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .plc, .plus_muhd, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tc, .tex, .tga, .thm, .tib, .tis, .tlg, .trn, .txt, .vbox, .vdb, .veg, .vob, .vob, .wallet, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv, .zip (322 расширения). 

Файлы, связанные с этим Ransomware
%UserProfile%\Application Data\cript.bat
%UserProfile%\Application Data\cript.exe
%UserProfile%\Application Data\<random_name>.exe
[Path_to_encrypted_file]\readthis.txt
<Email-attachment_Cyrillic-name>.docx.exe

Ключи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Crr1" = "[PATH TO TROJAN]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Crr2" = "[PATH TO TROJAN]"

Сетевые подключения:
inststats.com

Результаты анализов:
VirusTotal анализ >>
Symantec: Ransom.ODCODC >>

Степень распространённости: средняя.
Подробные сведения собираются. 


 Внимание!!! 
Для зашифрованных файлов есть дешифровщик. 
Скачать ODCODC Decoder


Обновление от 27 декабря 2016:
Записка: HOW_TO_RESTORE_FILES.txt
Расширение: .odcodc
Шаблон зашифрованного файла: C-email-[email_address]-[original_filename].odcodc
Результаты анализов: VT


BadBlock

BadBlock Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256 (CBC-режим, RSA-2048 ключ), а затем требует 2 биткоина (~$900) за расшифровку. 

К зашифрованным файлам никакое специальное расширение не добавляется. 

  Записки о выкупе называются Help Decrypt.html и Help_Decrypt.txt и размещаются в каждой папке с зашифрованными файлами. 

В качестве обоев рабочего стола ставится изображение Help_Decrypt.png с аналогичным содержанием и таким же яркокрасным дизайном. 

Содержание записки о выкупе:
BadBlock is on the block!
This machine was infected with ransomware BadBlock. Many of your files are encrypted using RSA algorithm, and
the key to decrypt this files is with us on our server.
- What this means?
It means that to decrypt and recover your files, you will need to pay a ransom, in bitcoins. The actual ransom for your machine is 2 bitcoins (USD -900.00).
If you are not interested in pay this ransom, you can easily format this machine, or even remove BadBlock (it's not that hard), but all your files will become unrecoverable!
- How do I pay?
You simply buy bitcoins. and transfer them to this account: 19zvMSm7qSQgFXCckXBJstdVdbT99ZuWBP
The amount is 2 bitcoins. like we talked earlier... You can use this link or this link to help you out on how to buy the bitcoins.
- What happens after the payment?
BadBlock still running on your computer right now. and waiting to detect one payment of 2 BTC on the address mentioned above. Once it detects, it will start to decrypt all the encrypted files. The process to detect the payment can take up to 2 hours, and only after this it will start decrypting your files. So after payment leave this machine powered.
For this reason, we strongly recommend you to not try to remove BadBlock. and disable your anti-virus for a while, until you pay and the payment gets processed, to BadBlock start decrypting. If your anti-virus gets updated and remove BadBlock automatically, even if you pay the ransom, it will not be able to recover your files!
- How do I know that you will really decrypt my files after payment?
You don't You have only one choice to recover your files: pay the ransom. We have no interest in keeping your files locked for any reason. So right now. just rely on us and everything will be fine.

Перевод записки на русский язык:
BadBlock в действии! (Буквально "в на блоке")
Эта машина инфицирована вымогателем BadBlock. Многие ваши файлы зашифрованы с помощью алгоритма RSA, а ключ дешифровки хранится на нашем сервере.
- Что это значит?
Это значит, что для дешифровки и восстановления файлов вам нужно заплатить выкуп в биткоинах. Он составляет 2 BTC или $900.
Если вы не желаете платить выкуп, то можете легко отформатировать диск, или даже удалить BadBlock (это нетрудно), но все ваши файлы будут утеряны!
- Как уплатить выкуп?
Нужно купить биткоины и передать их на этот счет: 19zvMSm7qSQgFXCckXBJstdVdbT99ZuWBP
Всего 2 биткоина, как мы говорили ранее. Вы можете использовать эту или эту ссылку, чтобы узнать, как купить биткоины.
- Что будет после уплаты выкупа?
BadBlock будет работать на вашем ПК и ждать информации о поступлении 2 BTC на указанный адрес. После получения этой информацию, он начнет дешифровку всех зашифрованных файлов. Ожидание платежа длится до 2-х часов, и только после этого начнется дешифровка файлов. Поэтому, после оплаты оставьте ПК включенным.
Потому, мы рекомендуем не пытаться удалять BadBlock и отключить на время антивирус, пока вы платите, платеж обрабатывается, BadBlock ждёт, чтобы начать дешифровку. Если ваш антивирус обновится и автоматом удалит BadBlock, то, даже если вы платили выкуп, он не сможет восстановить ваши файлы!
- Как я узнаю, что вы расшифруете мои файлы после уплаты?
Нет другого способа, чтобы восстановить файлы: только уплата выкупа. Мы по-любому не хотим хранить заблокированные файлы. Так что, просто доверьтесь нам и все будет хорошо.


Технические детали

  Распространяется с помощью email-спама и вредоносных вложений, фишинг-рассылок и ссылок на зараженные эксплойтами сайты, через вредоносный JavaScript, поддельные обновления Adobe Flash Player и другими способами. 

➤ Важные особенности BadBlock:
1) В отличие от почти всех других вымогателей инфекций, BadBlock не только шифрует свои файлы, но также шифрует исполняемые файлы на вашем ПК, в том числе важные системные файлы Windows. Это значит, когда вы перезагрузите ПК после шифрования BadBlock-а, то обнаружите, что система больше не запускается из-за того, что важные исполняемые файлы были зашифрованы, как показано на картинке ниже.

2) Большинство криптовымогателей не любят раньше времени, пока шифрование не завершено, демонстрировать свое присутствие. BadBlock же наоборот, открыто говорит жертве, что он делает в то самое время, когда это делает, см. скриншот ниже. 

 3) Так как пользователь уже будет знать, что BadBlock шифрует его файлы, то может в диспетчере задач завершить процесс badransom.exe, чтобы прервать шифрование. 

 ➤ Впервые запустившись на компьютере BadBlock создаёт исполняемый файл со случайным именем в директориях %AppData% и %LocalAppData%. Этот исполняемый файл запускается и начинает сканирование всех дисков (от C до Z) на компьютере в поисках целевых данных для шифрования. 

➤ Примечательно, что Windows 10 также подвержена атаке этого шифровальщика. 

Список файловых расширений, подвергающихся шифрованию:
3ds, .3fr, .7z, .aac, .accdb, .accdc, .accde, .accdt, .ai, .apk, .arch00, .arw,.asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c4d, .cab, .cas, .cdr, .cdt, .cer, .cfr, .cr2, .crt, .crw, .class, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db, .db0, .dba, .dbx, .dbf, .dcr, .dds, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drw, .dwg, .dxf, .dxg, .epk, .eps, .erf, .esm, .exe, .fdb, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gdoc, .gho, .gif, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .log, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .maf, .map, .max, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpeg, .mpg, .mpqge, .mrwref, .msg, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .old, .orf, .ott, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pic, .pkpass, .png, .pps, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .pwi, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .save, .sb, .sdc, .sdf, .sdw, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sqlite, .sr2, .srf, .srw, .sum, .svg, .swf, .sxw, .syncdb, .t12, .t13, .tax, .tif, .tor, .txt, .u3d, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vsd, .vtf, .w3x, .wb2, .wav, .wdb, .webm, .wma, .wmf, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xxx, .zip, .ztmp (244 расширения).

Файлы, связанные с этим Ransomware:
Help Decrypt.html  - во всех папках с зашифрованными файлами
Help_Decrypt.txt - во всех папках с зашифрованными файлами
Help_Decrypt.png - встаёт на обои Рабочего стола
badblock.exe - исполняемый файл и файл экрана блокировки
badransom.exe - копия оригинального файла
baman.vad - файл с кодом
<random>.exe - случайное название
calculator.vbs

notepad.vbs
Всего 444 файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User_name\Documents\badblock.exe
C:\ProgramData\Network Prosoft\badransom.exe 
C:\ProgramData\Network Prosoft\baman.vad
C:\ProgramData\Network Prosoft\warn: - содержимое файла Help Decrypt.html

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BadBlockR
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\BadBlockR
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zone Map\UNCAsIntranet
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zone Map\AutoDetect
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://managemilz.com/
BTC-1: 19zvMSm7qSQgFXCckXBJstdVdbT99ZuWBP
BTC-2: 115JX84uZi1VSpYcPjdAn3YgEe4gZxGHKr
BTC-3: 1Bxsquyg8bnf7hZWj62XsqTjvsHhs6CfrB

Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >>

Степень распространенности: высокая.
Подробные сведения собираются. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть два дешифровщика
1) Скачать BadblockDecrypter от Emsisoft >>
***
2) Скачать Avast free decryption tool >>
***
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BadBlock)
 Write-up, Topic of Support
 * 
 Thanks: 
 Mosh, Michael Gillespie
 BleepingComputer
 Jakub Kroustek
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 22 мая 2016 г.

PClock, PClock2

PClock и PClock2 Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма XOR (больше запутывая, чем шифруя), используя постоянный ключ на всех системах, а затем требует 1 биткоин за расшифровку. PClock подражает "старшему брату", вымогателю CryptoLocker, давно отключенному, выводит требование в записке от его имени, утверждая, что шифрует данные с помощью алгоритма AES-256 с RSA-2048 ключом, но сам по сути довольно примитивен по функционалу. 
 

  PClock даёт жертве на уплату выкупа 72 часа, в противном случае угрожает уничтожить ключи дешифровки. Есть предупреждение, чтобы отключили антивирус, который может удалить это ПО и помешать получить ключ дешифрования. В каждой папке с зашифрованными файлами помещается записка о выкупе enc_files.txt. В дикой природе PClock начал свою "деятельность" в начале 2015 года. 

  Не совсем понятно, как PClock, написанный на Visual Basic 6, попадает в систему пользователя. Вероятно с загрузками файлов, После запуска он копирует себя в папку AppData текущего пользователя, используя вложенную папку "WinCL" и имя исполняемого файла "WinCL.exe". Затем он прописывается в Автозагрузку системы, создав новое значение с именем "wincl" в ключе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run . 

  Потом PClock пытается удалить все теневые копии файлов, чтобы затруднить их восстановление. Из-за примитивизма вымогателя иногда они всё же остаются. 

Список файловых расширений, подвергающихся шифрованию:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .h, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx

  Все свои действия PClock записывает и отправляет на C&C-сервер: файлы зашифрованы, статус ОК, теневые копии удалены, обои изменены, ОК и пр. 


   PClock2 Ransomware — вторая версия одноименного вымогателя, шифрует файлы, используя случайным образом сгенерированный ключ и алгоритм RC4, а затем требует 0,5 биткоина  за расшифровку. PClock2 даёт жертве на уплату выкупа 7 суток (168 часов). Есть предупреждение, чтобы отключили антивирус, который может удалить это ПО и помешать получить ключ дешифрования. В дикой природе PClock2 начал свою "деятельность" в апреле 2015 года. 
 

  В отличие от первой версии PCLock2 всеяден, потому что настроен на шифрование 2583 (!) файловых расширений. 

Файлы, принадлежащие вымогателю:
%APPDATA%\WinDsk\windsk.exe - исполняемый файл вымогателя;
%APPDATA%\WinDsk\windskwp.jpg - сгенерированное изображение для смены обоев на Рабочем столе;
%DESKTOP%\CryptoLocker.lnk - ярлык на исполняемый файл вымогателя;
%USERPROFILE%\enc_files.txt - список зашифрованных файлов.

PCLock2 прописывается в Автозагрузку системы аналогично первой версии:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\]
“wincl” = “%APPDATA%\WinDsk\windsk.exe”

PCLock2 сохраняет детали заражения и отсчет времени на уплату выкупа в ключе:
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\CLOCK

Степень распространённости: средняя.
Подробные сведения собираются.



Внимание!!! 

Для зашифрованных файлов есть декриптер.



Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *