PayForNature

PayForNature Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует файлы с помощью RSA-1024. Цели шифрования: документы, PDF, фотографии, музыка, видео, базы данных и пр. 

К зашифрованным файлам добавляется расширение, созданное по шаблону .id-[string of characters].{payfornature@india.com}.crypt. 
 Например, файл Audi_A4.jpeg будет преобразован в Audi_A4.jpeg.id-X671S91.{payfornature@india.com}.crypt. 

  PayForNature очень похож на Crypt38, но не оставляет записку с требованием выкупа, кроме email-контакта на конце каждого зашифрованного файла. Такой подход подразумевает, что жертвы вымогателей уже должны быть знакомы с процедурой выплаты выкупа вымогателям. 

  Распространяется с помощью email-спама с вредоносными вложениями в виде RAR, ZIP и незаархивированных DOCX-файлов, которые имеют вредоносный макрос. А также с попутными загрузками на зараженных сайтах, среди которые игровые и лотерейные. 

Степень распространенности: низкая.
Подробные сведения собираются.

Remove PayForNature Decrypt Payfornature Decode Restore files Recovery data Удалить Bandarchor Как Дешифровать Расшифровать Восстановить файлы

PowerLocky

PowerLocky Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует файлы с помощью AES-128, а затем требует выкуп в $500, эквивалентных 0.74290893 BTC, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .locky. 

© Генеалогия: PoshCoder > Powerware > PowerLocky

  PowerLocky подражает крипто-вымогателю Locky, потому получил свое название от сложения названий вымогателей Powerware и Locky. PowerWare является продолжением PoshCoder, шифровальщика известного с 2014 года, и распространяется аналогично PoshCoder, т.е. через документы Microsoft Word со встроенным макросом. Вредоносную активность PowerWare прикрывает, используя Windows-утилиту PowerShell, отсюда и название PowerWare.

Remove PowerLocky Decrypt Powerware Decode Restore files Recovery data Удалить PowerLocky Как Дешифровать Расшифровать Восстановить файлы

Записка о выкупе называется _HELP_instructions.html

На TOR-сайте, который используют вымогатели, упомянут Locky Decrypter. 

Текст с экрана:
We present a special software Locky Decrypter
which allows to decrypt and return control to all your encrypted files.
How to buy Locky decrypter?

1. Download and install Multibit application. This will give you your own Bitcoin-wallet address. You can find it under the "Request" tab. Paste this in the "Your BTC-address" field below.
2. Buy Bitcoins, the price is 500 $ / 0.74290893 BTC and send it to your own Bitcoin-wallet address, they will show up in the Multibit app that you installed eartier. From there, hit the "Send" tab. Send the remaining BTC (bitcoin) to this Bitcoin-wallet address: lEBfQtzia9JbKzAAwBcnXB6n447jECumg2

Now submit the form below, only if you've actually sent the Bitcoins. Upon manual verification of the transaction you will receive the decrypter through email within 12 hours. ALL of your files/data will then be unlocked and decrypted automatically, HTML ransom files will also be removed.
Do NOT remove HTML ransom files or try to temper files in any way, because decrypter will not work anymore.
Please remember this is the only way to ever regain access to your files again!

Перевод на русский:
Мы представляем специальный софт Locky Decrypter
которая может дешифровать и вернуть все ваши зашифрованные файлы.
Как купить Locky Decrypter?

1. Загрузите и установите приложение Multibit. Оно создаст вам адрес на Bitcoin-кошелек. Вы его найдете во вкладке "Request". Вставьте его в поле ниже "Your BTC-address".
2. Купите биткоины на сумму $500 / 0,74290893 BTC и отправьте на адрес вашего Bitcoin-кошелека, они будут отображаться в приложении Multibit, что вы ранее установили. Оттуда нажмите на вкладку "Send". Отправьте остаток BTC (Bitcoin) на адрес Bitcoin-кошелька: lEBfQtzia9JbKzAAwBcnXB6n447jECumg2

Потом заполните форму ниже, только если вы на самом деле послали биткоины. При ручной проверке сделки вы получите Decrypter по email в течение 12 часов. ВСЕ ваши файлы/данные будут автоматом разблокированы и расшифрованы, HTML-файлы о выкупе будут удалены.
Не удаляйте эти HTML-файлы и подобные файлы ни в коем случае, потому что Decrypter не будет работать.
Пожалуйста помните, это единственный способ получения доступа к вашим файлам!

Для распространения использует email-спам с вредоносным вложением, эксплуатируя возможности Microsoft Word и PowerShell, языка сценариев Microsoft Windows. 

При установке, PowerShell, расположенный по адресу %USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1, извлекает исполняемый файл вымогателя и запускает его в качестве сценария. После запуска вымогатель начинает шифровать данные на всех дисках и добавлять расширение .locky к именам зашифрованных файлов. Он также создаст записку с требованием выкупа в каждой папке, в которой есть зашифрованные файлы.

Список файловых расширений, подвергающихся шифрованию:
 .1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm,.docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (447 расширений). 

Детект на VirusTotal >>>


Эксперты Palo Alto создали Python-скрипт, способный извлекать статический ключ из кода PowerWare и выполнять расшифровку. Майкл Джиллеспи из BleepingComputer придал этому инструменту привычный для пользователей вид, снабдив его интерфейсом. Эта версия PowerWare получила название PowerLocky, из-за его подражание работе реального Locky. Прикрываясь названием более сложного крипто-вымогателя, злоумышленники хотят запугать жертву и принудить её заплатить выкуп как можно быстрее. 

Степень распространенности: низкая
Подробные сведения собираются. 

Внимание!!! 

Для зашифрованных файлов есть декриптер.

Скачать декриптер для PowerLocky 

Тема поддержки

CrypMIC

CrypMIC Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует выкуп в 1,2 биткоина. По истечении времени сумма выкупа увеличится до 2,4 биткоина. 

© Генеалогия: CryptXXX (имитация) > CrypMIC

Специалисты сравнили два крипто-вымогателя по ряду признаков и считают, что у них есть относительное родство или некоторое заимствование. 

Никаких расширений к зашифрованным файлам не добавляется, потому жертве разобраться в том, какие файлы были зашифрованы, довольно сложно. 

Записки о выкупе сделаны в трех вариантах: README.TXT, README.html, README.BMP.

Записка о выкупе CrypMIC

Записка о выкупе CryptoXXX (для сравнения)

Перевод текста CrypMIC на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com
Что случилось с файлами?
Все ваши файлы защищены сильным шифрованием с RSA4096
Подробную информацию о ключах шифрования с RSA4096 ищите здесь: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Как это случилось?
!!! Специально для вашего ПК создан персональный ключ RSA4096, открытый и секретный.
!!! Все ваши файлы зашифрованы с помощью открытого ключа, который был передан на ПК через Интернет.
!!! Дешифровать файлы можно только с помощью секретного ключа и декриптора с нашего секретного сервера.
Что мне делать?
Есть два способа, которые можете выбрать: ждать _чуда_ и _заплатить_двойную цену! Или получить БИТКОИНЫ СЕЙЧАС! и вернуть _ВАШИ_ФАЙЛЫ ...
Если у Вас есть ценные _ДАННЫЕ_, вам лучше _НЕ_ТЕРЯТЬ_ВРЕМЯ_, потому что _НЕТ_ другого способа получить свои файлы, за исключением того, сделать ... оплату...
Ваш персональный ID: ***
Для подробных инструкций откройте ваш персональный сайт, есть несколько адресов, указывающих на вашу страницу ниже: ...
Если по каким-то причинам адреса недоступны, сделайте следующие шаги:
1 - Загрузить и установить Tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2 - Видео-инструкция: ***
3 - После успешной установки запустить браузер
4 - Ввести в адресной строке: ***
5 - Следуйте инструкциям на сайте

Сравнение CrypMIC и CryptoXXX

CrypMIC не прописывается в автозагрузку системы, но способен шифровать 901 тип файлов. Кроме того, CrypMIC использует vssadmin для удаления теневых копий файлов.

CrypMIC использует для распространения те же методы, что и CryptXXX, в частности, набор эксплойтов Neutrino, размещенный на взломанных сайтах и во вредоносной рекламе. Может распространяться и с помощью других наборов эксплойтов, в частности RIG, а также с помощью фальшивых обновлений Adobe Flash Player. 

CrypMIC имеет проверочную подпрограмму VM, может выполнять шифрование даже в виртуальной среде, отправляя данные на C&C-сервер, для связи с которым используется собственный протокол через TCP-порт 443, как и у CryptoXXX. 

CrypMIC способен шифровать файлы на съемных и сетевых дисках, перебирая весь алфавит от D до Z. Причем, CrypMIC шифрует информацию только на тех сетевых дисках, которые отображаются в карте сети. 

CrypMIC не похищает учётные данные и другую информацию с инфицированных компьютеров, как это делает CryptXXX. 

Сервис дешифрования, используемый создателями CrypMIC, тоже имеет определённое сходство с сервисом дешифрования CryptoXXX.

Сервис дешифрования CrypMIC 

Сервис дешифрования CryptXXX (для сравнения)

Впервые CrypMIC исследован и описан в блоге TrenMicro как RANSOM_CRYPMIC. 

Новый детект на VirusTotal >>
Ссылка на MTA >>
Топик поддержки на BC >>

Степень распространенности: перспективно высокая
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 27 сентября 2018:
Посты в Твиттере >>
Скриншоты записок:

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as CrypMIC )
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam, Lawrence Abrams
 Andrew Ivanov, Marcelo Rivero, GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

HolyCrypt

HolyCrypt Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует файлы пользователей с помощью AES и требует уплатить выкуп, чтобы получить секретный ключ дешифрования и вернуть файлы обратно. Срок уплаты выкупа подозрительно короткий, всего 24 часа. Вымогатель известен с мая 2016. HolyCrypt написан на Python и является 64-битным Ransomware. Название получил от встроенного сценария holycrypt-v0.3.py.

Remove HolyCrypt Decrypt HolyCrypt Decode Restore files Recovery data Удалить HolyCrypt Дешифровать Расшифровать Восстановить файлы

К зашифрованным файлам добавляется приставка (encrypted). Пример на картинке. 

Записка о выкупе: 
Attention!!! To restore information email technical support send 3 encrypted files HolyCrypt@aol.com

Синхронный перевод на русский:
Внимание!!! Для возврата информации почта технической поддержки отправить 3 зашифрованных файла HolyCrypt@aol.com

Да, какой-то несвязный текст. 

  Полное вымогательское сообщение написано на скринлоке — изображении alert.jpg, встающем обоями рабочего стола. 

Содержание текста с изображения: 
YOUR COMPUTER HAS BEEN LOCKED!
Your documents, photos, databases and other important files have been locked with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt ypur files until you pay and obtain the private key.
The server will eliminate the key after 24h.
Open http://test_ransonware.onion.link and follow the instruction for the payment

Обратите внимание в тексте есть опечатка - слово ypur, вместо your. 

Перевод на русский язык: 
Ваш компьютер заблокирован!
Ваши документы, фото, базы данных и другие важные файлы заблокированы сильным шифрованием и уникальным ключом, созданным для этого компьютера. Секретный ключ дешифрования хранится на секретном интернет-сервере и никто не расшифрует ypur [ваши] файлы, пока не оплатите и не получите секретный ключ.
Сервер уничтожит ключ через 24 часа.
Откройте http://test_ransonware.onion.link и следуйте инструкциям для оплаты

Шифровальщик шифрует только файлы, находящиеся в директории %USERPROFILE% 

Список файловых расширений, подвергающихся шифрованию:
.3gp, .aac, .aiff, .ape, .asp, .aspx, .avi, .bmp, .csv, .db, .dbf, .doc, .docx, .epub, .flac, .flv, .gif, .html, .iso, .jpeg, .jpg, .json, .m4a, .m4v, .md, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odp, .ods, .odt, .ogg, .pdf, .php, .png, .ppt, .pptx, .psd, .raw, .rtf, .sln, .sql, .svg, .swf, .tex, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .yaml, .yml (58 расширений). В разных версиях возможны отличия. 

Детект на VirusTotal >>>

Файлы можно дешифровать без уплаты выкупа. 

Степень распространенности: пока не определена
Подробные сведения собираются. 

Cute, my-Little

Cute Ransomware

cuteRansomware

my-Little-Ransomware

(шифровальщик-вымогатель)

   В основе крипто-вымогателя Cute Ransomware лежит Open Source разработка "my-Little-Ransomware" китайского программиста Ма Шенхао, выложенная им в феврале 2016 на Github. 

  Согласно описанию, my-Little-Ransomware представляет собой простой инструмент для создания крипто-вымогателей, написанный на C# (CSharp). Ма Шенхао (кстати, имя Shenghao переводится с китайского как "Добрый знак") писал несколько вымогателей в исследовательско-учебных целях для SITCON 2016 (китайской студенческой конференции по информационным технологиям). И только my-Little-Ransomware (другое авторское название CSharpRansomware) получился таким, что не детектировался ни одним из антивирусов. Ма Шенхао приложил скриншот с VirusTotal, где нет детекта ни одного детекта. Разработчик даже не предполагал, что его программа станет оружием в руках киберпрестпником и породит несколько реальных крипто-вымогателей. В его my-Little-Ransomware использовался AES-128 для шифрования данных. 

В my-Little-Ransomware список файловых расширений, подвергающихся шифрованию, был следующим:

.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd,.png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (158 расширений).

В Cute Ransomware же задан урезанный набор целевых расширений:
.bmp, .cpp, .csr, .docx, .enc, .jpg, .pcap, .pdf, .pem, .png, .pptx, .py, .txt, .zip (14 расширений).

  Cute Ransomware использует AES-128 для шифрования файлов, а RSA для шифрования ключей. Он пересохраняет файлы с расширением .encrypted, записанным на китайском языке .已加密, а затем отправляет ключи в Google Docs. Из чего следует, что вымогатель ориентирован только на китайских пользователей. Распространяется с помощью попутных загрузок. 

  Расчет кибер-преступников прост: "Сервис Google Docs использует HTTPS по умолчанию и передача данных осуществляется по протоколу SSL, из-за чего вредонос может легко обойти традиционные решения безопасности, такие как межсетевой экран, систему предотвращения вторжений, или брандмауэр следующего поколения", — объяснили Netskope в своем блоге. "Авторы вредоносных программ перешли к более широкому использованию облака, для доставки вредоносных программ и эксфильтрации данных с помощью C&C-серверов, а отсутствие традиционных средств обнаружения в SSL становится огромным преимуществом для них"... "Организациям, использующим сервис Google Docs в качестве основного, практически невозможно защититься. Чтобы предотвратить атаку этих вымогателей, нужно избирательно блокировать конкретный экземпляр приложения, связанный с этим вымогателем, позволяя работу только с санкционированными экземплярами Google Docs". 

  Первые крипто-вымогатели, основанные на my-Little-Ransomware, были замечены в середине июня. А неделю назад фирма Netskope подловила еще один похожий вредонос, в коде которого была строка cuteRansomware, которая и стала названием для всех вымогателей на его основе.

Добавление от 21 июля 2016
Один из китайских вариантов
Расширение: .cke
Записка о выкупе: 文件加密警告warning.txt (File Encryption Warning)

Китайский текст:
由于您曾经使用了盗版软件，您的大部分文件暂时被AES-128加密：office文件，图片，文本文档，数据库等。需要支付软件版权费用才能恢复所有文件。请联系邮箱imugf@outlook.com支付版权费。
说明：1.不要删除桌面上任何文件！否则永远无法恢复被加密的文件。2.AES-128是高级加密标准，拥有极佳的安全性，除了我们没有任何人能恢复所有文件。

Английский текст:
Warning: Since you have used pirated software, most of your files have been encrypted by AES-128: office files, images, text files, databases, etc.. You must pay software copyright fees to recover all the files. Please contact email imugf@outlook.com to pay copyright fees.
Note: 1. Do not delete any files on the desktop! Otherwise, you can never recover the encrypted files. 
2. AES-128 is advanced encryption standard, with excellent security, in addition to our no one can recover all the files.

Перевод на русский:
Внимание: Раз вы использовали пиратский софт, многие ваши файлы были зашифрованы с AES-128: офисные файлы, изображения, текстовые файлы, базы данных и т.д. Вы должны оплатить сбор за копирайт софта, чтобы вернуть все файлы. Пишите нам на imugf@outlook.com для оплаты сбора.
Важно: 1. Не удаляйте файлы на рабочем столе! Иначе вы не вернете зашифрованные файлы.
2. AES-128 передовой стандарт шифрования, с отличной безопасностью, потому никто не вернет вам все файлы.

Файлы, связанные с Cute Ransomware:
Ransomware.exe
文件加密警告warning.txt

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: средняя и перспективно высокая. 
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles.

JackPot

JackPot Ransomware

JackPot 1.0.0.1 Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 3 биткоина, чтобы вернуть файлы, хотя никакой контакт для связи не указан. Оригинальное название: jack.pot. На файле написано: RansomWare.exe. Версия: 1.0.0.1. 

© Генеалогия: JackPot (1.0.0.1) > Jackpot (3.0.0.2)

К зашифрованным файлам добавляется расширение .coin

Обрназец этого крипто-вымогателя был обнаружен в июле и октябре 2016 г., хотя в "дикой природе" был с 14 марта 2016. Ориентирован на англоязычных пользователей.

Запиской с требованием выкупа выступает изображение, встающее обоями Рабочего стола. 

Содержание записки о выкупе:
***jack.pot***
All your important files are encrypted.
To decrypt your files, pay 3.0 BTC ~ = 830 USD to the Bitcoin address:
Lu2KeU9p108ReOqdamoWAxhxC1iMCI9bjs4

Перевод записки на русский язык:
***jack.pot***
Все твои важные файлы зашифрованы.
За расшифровку файлов плати 3.0 BTC ~ = 830 дол. на Bitcoin-адрес:
Lu2KeU9p108ReOqdamoWAxhxC1iMCI9bjs4

---
Примечательно, что указанный вымогателями адрес относится к криптовалюте LiteCoin, а не Bitcoin. Еще примечательно, что вымогатели даже не указали контактного email-а. Это говорит о том, что их цель — только получение денег. Ни о какой дешифровке и возвращении данных не стоит и мечтать. Кроме того, возможен тестовый вариант. 

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. 

Список файловых расширений, подвергающихся шифрованию:
популярные форматы файлов. 

Файлы, связанные с JackPot Ransomware:
RansomWare.exe

Записи реестра, связанные с JackPot Ransomware:
См. ниже в гибридном анализе. 

Сетевые подключения:
52.58.55.93:80

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Litecoin and Bitcoin?
 TrendMicro blog

 Thanks: 
 Karsten Hahn, TrendMicro
 Andrew Ivanov (author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Stampado

Stampado Ransomware

(шифровальщик-вымогатель, RaaS)

 Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Срок уплаты выкупа — 96 часов. Иначе каждые 6 часов будет удаляться по одному случайным образом выбранному зашифрованному файлу. Вымогатели предлагают для связи email-адрес, на него надо прислать 1 зашифрованный файл, который они могут расшифровать в качестве гарантии, а затем прислать пользователю инструкции по оплате. 

Stampado написан на языке сценариев AutoIT и, по мнению специалистов, так коряво, что говорит о малоопытности разработчиков-вымогателей. 

Этимология названия: от итальянского "stampa do" - "напечатать, сделать печать", а также "надавить". Последнее значение в вымогательстве ближе к истине. 

Зашифрованные файлы получают расширение .locked. 

Запиской о выкупе выступает экран блокировки "Your files have been encrypted by Stampado". 

Содержание на английском:
All your files have been encrypted.
All your files have been encrypted!
All your documents (databases, texts, images, videos, musics etc) were encrypted The encryption was done using a secret key that is now on our servers.
To decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you.
Note that every 6 hours, a random file is permanently deleted The faster you are. the less files you will lose.
Also, in 96 hours, the key will be permanently deleted and there will be no way of recovering your files.
What can I do?
Contact us by email telling your ID (below) and wait for us to send the instructions.
Contact us by teste@email.com
As a proof, you can send one encrypted file so we will send it back decrypted. Use it as a guarantee that we can decrypt your files.
--- Next Russian Rollette file deletion:
5 hours, 47 minutes and 59 seconds
--- Time until total loss:
3 days, 23 hours, 47 minutes and 59 seconds


Перевод на русский:
Все ваши файлы были зашифрованы.
Все ваши файлы были зашифрованы!
Все документы (базы данных, тексты, изображения, видео, музыка и пр.) зашифрованы. Это сделано с секретным ключом, хранимым на нашем сервере.
Для дешифровки файлов вам нужно купить у нас секретный ключ. Мы единственные на Земле, кто может это сделать.
Заметьте, каждые 6 часов будет удаляться 1 случайный файл. Торопитесь, чтобы не потерять их.
Через 96 часов ключ будет удален окончательно и восстановить файлы будет невозможно.
Что я могу сделать?
Напишите нам на email, указав свой ID (ниже) и ждите от нас инструкции.
Контакт по teste@email.com
На пробу пришлите 1 зашифрованный файл, мы вернем его дешифрованным. Это гарантия возможности дешифровки файлов.
--- Русская рулетка удалит файл через:
5 часов, 47 минут и 59 секунд
--- Время до полной потери:
3 дня, 23 часа, 47 минут и 59 секунд

Список файловых расширений, подвергающихся шифрованию:   .001, .001, .3fr, .7z, .accdb, .ai, .aiml, .ani, .apk, .arch00, .arw, .asset, .au3, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c, .cas, .cdr, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dbfv, .dcr, .der, .desc, .dmg,  .dmp, .dng, .doc, .docx, .docm, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .hkdb, .hplg, .html, .hvpl, .ibank, .ico, .indd, .itl, .itdb, .icxs, .itm, .iwd, .iwi, .jpg, .jpeg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf,  .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt .orf, .p12, .p7b, .p7c, .pak, .pas, .pc, .pdd, .psd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .png, .ppt, .pptx, .pptm, .ppsx, .pps, .ps, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .hkx, .rtf, .rw2, .rwl,  .sav, .sb, .sc2save, .sidn, .sidd, .sie, .sis, .sid, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t13, .t12, .tax, .tor, .txt, .unity3d,.upk, .vdf, .vfs0, .vpk, .vpp, .vtf, .w3x, .wav, .wma, .wmv, .wb2, .wmo, .wotreplay, .wpd, .wps,.x3f, .xf, .xlk, .xlsb, .xlsm, .xls, .xlsx, .xml, .skp, .xxx, .zip, .ztmp (211 расширений).

Технические детали

  Stampado распространяется главным образом в Дарквебе: продается всего за $39 (~2500 рублей). Благодаря такой относительно низкой среди киберкриминала цене (другие стоят от нескольких сотен до тысяч долларов, например, Locky продавался за $3000, а Goliath за $2100), приобрести его могут немало желающих стать вымогателем. Покупка обеспечивает пожизненную лицензию. Стартовая цена выкупа 1BTC, покупатель может её изменить. Низкая цена вымогателя говорит о малоопытности злоумышленников, которые только набирают очки. Источник информации. 

  Разработчики загрузили видеоролик для демонстрации возможностей по шифрованию и дешифрованию. 

  Вредонос использует расширения exe, bat, dll, scr, cmd. для доставки на ПК и установки в системе. По желанию можно также использовать биндеры, пакеры и криптеры, чтобы упростить или осложнить доставку. На момент данной публикации использование Stampado в мошеннических кампаниях ещё не было обнаружено. 

Позже в записках о выкупе были замечены адреса вымогателей: 
paytodecrypt@sigaint.org
ransom64@sigaint.org
clesline212@openmailbox.org
getfiles@tutanota.com
successl@qip.ru

Детект на один из файлов на VirusTotal >>
Описание в Symantec: Ransom.Stampado >>
Описание в энциклопедии TrendMicro >>

Файлы, связанные со Stampado Ransomware: 
%UserProfile%\AppData\Roaming\[random]
%UserProfile%\AppData\Roaming\[random]
%UserProfile%\AppData\Roaming\scvhost.exe

Записи реестра, связанные со Stampado Ransomware: 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update %UserProfile%\AppData\Roaming\scvhost.exe

Информация о прослеживаемой связи Stampado с Jigsaw >>

Степень распространённости: средняя. 
Подробные сведения собираются. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9 сентября 2016: 

Philadelphia Ransomware (отдельная статья) >>

Отдельный проект вымогателей. 

Обновление от 19 сентября 2016 г. 
- новая версия Stampado v1.18;
- улучшен алгоритм шифрования файлов;
- увеличено число целевых расширений файлов;
- была попытка защититься от декриптора Emsisoft; 
- старые клиенты получат обновление бесплатно (ЛС с подробностями заказа);
- новые покупатели получат сразу обновленную версию Stampado Ransomware. 

 

 С выходом этой версии разработчики Stampado обновили список расширений. В новой версии они добавили в список ещё больше целевых расширений, включив также те расширения, которые добавляют другие криптовымогатели к зашифрованным ими файлам. Среди них такие: 
 .aaa, .axx, .bin, .breaking_bad, .btc, .ccc, .cerber, .coverton, .crjoker, .cryp1, .crypt, .crypted, .cryptolocker, .cryptowall, .crypz, .ecc, .enciphered, .encrypt, .encrypted, .enigma, .exx, .ezz, .fun, .ha3, .lechiffre, .legion, .locky, .lol!, .magic, .micro, .odcodc, .payms, .r5a, .rdm, .rokku, .surprise, .wflx, .windows10, .xxx, .xyz, .zcrypt, .zepto, .zyklon, .zzz и другие. 

Всего более 70 расширений от других вымогателей, см. полный список на скриншоте ниже. Более того, чтобы нанести жертвам наибольший вред, в новый список расширений добавлены файлы бэкапов всех известных расширений программ резервного копирования. 

Обновление от 28 декабря 2016:
Пост в Твиттере >>
Файлы: <random>.exe, AVG_Protection_Free_1606.exe, fulvklp.bat
Фальш-имя: AVG_5Years_Antivirus_Activated_2017
---

Внимание!!!
Для зашифрованных файлов есть 2 дешифровщика:

Скачать Emsisoft Decryptor для Stampado >>
Скачать Emsisoft Decryption Tool (Ransomware Recover) для Stampado >>


© Amigo-A (Andrew Ivanov): All blog articles.

AnonPop

AnonPop Ransomware

(фейк-шифровальщик)

   Этот вымогатель якобы шифрует файлы, а затем требует выкуп в 125 долларов за "дешифровку". На самом деле файлы не шифруются, а удаляются. Название вымогателя составлено из английских слов "Anonymous" + "Pop-up", т.е. используется маска хакерской группы Anonymous и всплывающее, как на веб-страницах, окно с сообщением. 

Remove AnonPop Decrypt AnonPop Decode Restore files Recovery data 
Удалить AnonPop Дешифровать Расшифровать Восстановить файлы

  Во многом AnonPop схож с TowerWeb Ransonware, у которого есть та же маска, тот же текст и почта на yandex.com, хоть и другая. Возможно, что за обоими вымогателями стоят одни и те же дэвы, или одни подражают другим. 

  К счастью, пострадавшая сторона может использовать recovery-программы или системные функции (восстановления системы и службу теневых копий) для восстановления удаленных данных. Источник информации. 

В результате вредоносной деятельности AnonPop будут удалены все файлы, найденные им в следующих папках и дисках:

%USERPROFILE%\Documents\

%USERPROFILE%\Downloads\

%USERPROFILE%\Pictures\

%USERPROFILE%\Music\

%USERPROFILE%\Videos\

%USERPROFILE%\Contacts\

%USERPROFILE%\Favorites\

%USERPROFILE%\Searches\

C:\Program Files\Google\

C:\Program Files\Windows Defender\

C:\Program Files\Mozilla Firefox\

C:\Program Files\Internet Explorer\

C:\Program Files (x86)\Google\

C:\Program Files (x86)\Internet Explorer\

C:\Program Files (x86)\Mozilla Firefox\

%AppData%\Local\Temp\

%USERPROFILE%\Desktop\

D:\ E:\ F:\ H:\ G:\ I:\

  Вместо текстовых сообщений о выкупе, используется блокировщик экрана. Надпись на нем сообщает, что ваш компьютер и файлы зашифрованы и вы должны заплатить $125 в течение 24 часов или $199 после 24 часов, чтобы получить файлы обратно, а после 72 часов файлы будут удалены. Написать вымогателям после уплаты выкупа нужно на email supportfiles@yandex.com 

  Если жертва видит это сообщение на своем экране, то файлы в указанных выше папках уже удалены, и никакой выкуп не поможет. 

  Распространяется с помощью email-спама с различными темами письма, например, "Жалоба", "Уведомление", "Постановление суда" и пр. В сообщении содержится ссылка на предполагаемый документ, ведущая на вредоносный сайт, или прилагается вложение в виде PDF-документа, содержащего скрипт или эксплойт. Ниже приведено содержание одного из таких документов.

Содержание письма на английском: From: The Office of The Attorney General 
Subj: The Office of The Attorney General Complaint Body:
Dear Business Owner: -------------------
A complaint has been filed against your Business. Enclosed is a copy of the complaint which requires your response. You have 10 days to file a rebuttal if you so desire. You may view the complaint at the link below complaint376878.pdf Rebuttals should not exceed 25 pages and may refer to any additional documents or exhibits that are available on request. The Office of The Attorney General cannot render legal advice... Please review the enclosed complaint. If filing a rebuttal please do so during the specified time frame.
Sincerely, The Office of The Attorney General -------------------
This document and any files transmitted with it are confidential and intended solely for the use of the individual or entity to whom they are addressed. If you have received this email in error, please notify the system manager. This message contains confidential information and is intended only for the individual named. If you are not the named addressee, you should not disseminate, distribute or copy this email.

Перевод на русский:
От: Офис Генерального прокурора
Тема: В офис Генерального прокурора поступила жалоба:
Уважаемый владелец бизнеса: -------------------
Жалоба была подана в отношении вашего бизнеса. Прилагаю копию жалобы, требующую вашего ответа. У вас есть 10 дней на подачу опровержения. Вы можете прочитать жалобу по ссылке complaint376878.pdf. Опровержение не должно превышать 25 страниц и может ссылаться на любые дополнительные документы. Управление Генеральный прокурора не оказывает юридическую консультацию... Пожалуйста, ознакомьтесь с прилагаемой жалобой. Подачу опровержения, пожалуйста, делайте в течение указанного времени.
С уважением, Управление Генерального прокурора -------------------
Этот документ и любые файлы, переданные с ним, являются конфиденциальными и предназначены исключительно для использования физическим или юридическим лицом, которому они адресованы. Если вы получили это письмо по ошибке, пожалуйста, сообщите менеджеру системы. Это сообщение содержит конфиденциальную информацию и предназначена только для названного человека по его имени. Если вы не названный адресат, Вы не должны распространять, распространять или копировать этот email.

Когда пользователь кликнет ссылку на вложенный ZIP-файл, содержащий поддельный PDF-файл, то будет загружен и установлен AnonPop, который начнет свою вредоносную деятельность по удалению файлов пользователя. 

Т.к. файлы всё же не шифруются, то AnonPop Ransomware я отношу к фейк-шифровальщикам. 

Степень распространенности: низкая.
Подробные сведения собираются.