Cerber 2.0

Cerber 2.0 Ransomware 

   Новая версия криптовымогателя Cerber была обнаружена сразу несколькими исследователями, независимо друг от друга. Все они наблюдали за новой вариацией в течение июля 2016. 

© Генеалогия: Cerber > Cerber 2.0 > Cerber 3.0 > Cerber 4.0 > Cerber 5.0

Cerber 2.0 Ransomware имеет ряд существенных изменений от предыдущей версии, как внутренних, так и внешних. Так теперь используется метод шифрования RC4+RSA. 
Разработчик, привлекающий новых партнеров на подпольных форумах, скрылся за ником crbr. В его сообщении с рекламой партнер-участник получает 60% от прибыли с дополнительными 5 процентами за привлечение нового участника в программу. Остальные деньги уходят разработчику. Контрольная панель, предлагаемая партнерским филиалам, доступна на 12 языках, включая арабский, китайский, португальский и турецкий языки. Согласно данным от того же crbr, 3% всех жертв в основном из Австралии, Канады, Франции, Германии, Великобритании, Индии, Италии, Южной Кореи и США - платят за покупку декодера.

Записок о выкупе три в разных форматах: 
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.vbs

Названия записок о выкупе не изменились. Содержание текстового файла также обширно и нудно, потому мы его опускаем и отдаём предпочтение другим деталям. 

HTML-версия записки о выкупе

Скринлок, встающий обоями рабочего стола

Внешние изменения:
Cerber-2 теперь использует упаковщик, чтобы усложнить его обнаружение и анализ.
Шифрование изменено, чтобы использовать Microsoft API CryptGenRandom для генерации ключа. Генерируемый ключ теперь составляет 32 байта, а не 16 байтов, используемых в предыдущих версиях. Эти изменения привели к тому, что Cerber Decryptor от Trend Micro уже не может расшифровать зашифрованные этой версией файлы.
Зашифрованные файлы получают расширение .cerber2. Раньше было — .cerber
Используется значок из детской игры под название Anka. Но он может поменяться. 
Скринлок, встающий обоями рабочего стола, поменялся на мелкопиксельный фон. 
Ошибка, позволявшая ранее дешифровать зашифрованные файлы, увы, устранена. 

Так выглядят зашифрованный файлы

Значок исполняемого файла Anka

Внутренние изменения:
Вымогатель теперь использует упаковщик, чтобы осложнить обнаружение и анализ.
Для генерации ключа шифрования ныне используется API CryptGenRandom Microsoft.
Ключ генерируется теперь на 32 байта, а не 16 байт, как было в предыдущей версии. 
Файловых расширений, подвергающихся шифрованию, в новой версии стало больше. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip (456 расширений). 

Как и прежде, Cerber проверяет локализацию ПК и не шифрует файлы в ПК пользователей из следующих стран: Азербайджан, Армения, Беларусь, Грузия, Казахстан, Кыргызстан, Молдова, Россия, Таджикистан, Туркменистан, Узбекистан, Украина. Из-за этого факта некоторые исследователи, в частности CheckPoint в своем отчете, представленным в августе 2016 года, сделали выводы, что Cerber запускается из России. Такая стратегия позволяет атакующим избежать правовых преследований со стороны правоохранительных органов этих стран.

Примечательно, что в чёрном списке у Cerber v.2 прописаны следующие антивирусные программы: ArcaBit, ArcaVir, Avast, Bitdefender, Bullguard, CA, Emsisoft, ESET, eScan, eTrust, F-Secure, G Data, Kaspersky, Lavasoft, TrustPort. Это значит, что, обнаружив на ПК их присутствие, вымогатель просто не станет запускаться. 

Шифровальщик завершает следующие процессы:
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
sqlservr.exe
thebat.exe
thebat64.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe

Шифруются файлы в директориях:
:\\documents and settings\\all users\\documents\\
:\\appdata\\roaming\\microsoft\\office\\
:\\excel\\
:\\microsoft sql server\\
:\\onenote\\
:\\outlook\\
:\\powerpoint\\
:\\steam\\
:\\the bat!\\
:\\thunderbird\\

Не шифруются файлы: 
boot.ini
bootsect.bak
desktop.ini
iconcache.db
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db

Пропускаются файлы в директориях:
 :\\$recycle.bin\\ 
 :\\$windows.~bt\\ 
 :\\boot\\ 
 :\\documents and settings\\all users\\ 
 :\\documents and settings\\default user\\ 
 :\\documents and settings\\localservice\\ 
 :\\documents and settings\\networkservice\\ 
 :\\program files\\ 
 :\\program files (x86)\\ 
 :\\programdata\\ 
 :\\recovery\\ 
 :\\recycler\\ 
 :\\users\\all users\\ 
 :\\windows\\ 
 :\\windows.old\\ 
 :\\appdata\\local\\ 
 :\\appdata\\locallow\\ 
 :\\appdata\\roaming\\adobe\\flash player\\ 
 :\\appData\\roaming\\apple computer\\safari\\ 
 :\\appdata\\roaming\\ati\\ 
 :\\appdata\\roaming\\intel\\ 
 :\\appdata\\roaming\\intel corporation\\ 
 :\\appdata\\roaming\\google\\ 
 :\\appdata\\roaming\\macromedia\\flash player\\ 
 :\\appdata\\roaming\\mozilla\\ 
 :\\appdata\\roaming\\nvidia\\ 
 :\\appdata\\roaming\\opera\\ 
 :\\appdata\\roaming\\opera software\\ 
 :\\appdata\\roaming\\microsoft\\internet explorer\\ 
 :\\appdata\\roaming\\microsoft\\windows\\ 
 :\\application data\\microsoft\\ 
 :\\local settings\\ 
 :\\public\\music\\sample music\\ 
 :\\public\\pictures\\sample pictures\\ 
 :\\public\\videos\\sample videos\\ 
 :\\tor browser\\

 Степень распространённости: высокая. 
 Подробные сведения собираются.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Cerber Ransomware - январь - март 2016
Cerber RaaS - март - август 2016 и далее
Cerber 2.0 Ransomware - август 2016
Cerber 3.0 Ransomware - август - сентябрь 2016
Cerber 4.0 Ransomware - октябрь 2016 и далее
Cerber 5.0 Ransomware -  декабрь 2016 - начало 2017 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновления августа 2017:
Фальш-копираты: CamStudio Group, Gentis Media Inc., Corel Corporation
Фальш-имена: Acotyledon.exe, Straightness.exe, Parameter.exe, Giobertite.exe
Результаты анализов: VT, VT, VT

Cerber с анти-канареечной технологией и защита от него
  Так называемые "canary files" (файлы-приманки, канарейки) являются техникой безопасности для раннего обнаружения атаки (шифровальщиков-вымогателей) Crypto-Ransomware. С помощью "canary files" защитные программы, например от Cybereason, отслеживают любые модификации в системе, при обнаружении попытки шифрования этих файлов, система безопасности сразу принимает контрмеры.
  Новая августовская модификация шифровальщика Cerber способна обходить эту меру. Чтобы избежать шифрования "канареек", Cerber теперь ищет файлы изображений (.png, .bmp, .tiff, .jpg и т.п.), а затем проверяет, действительно ли они являются файлами изображений. Обнаружив подозрительное несоответствие, Cerber теперь пропускает весь каталог, в котором обнаружил сомнительные файлы.
  Но новые возможности вымогателя Cerber можно использовать против него самого. Достаточно поместить всего один файл, изначально не являющийся изображением, например, txt-файл, в любую важную папку, переименовать его расширение на jpg или png, и тогда Cerber, приняв его за файл-приманку, не будет шифровать файлы во всей папке. Таким образом, можно защитить любую папку, содержащую ценные данные. Но если папок много, то эту операцию нужно выполнять для каждой папки. 
Источник >> 

Обновление от 16-17 августа 2016
Check Point Software провели исследование многих инцидентов, связанных с деятельностью Cerber 1 и Cerber 2 в разных странах. Их результаты представлены в подробном исследовательском докладе по Cerber RaaS и дешифрованию Cerber v.1 и v.2.
Мониторинг деятельности Cerber RaaS позволил выявить различные кампании по распространению, выполняемые филиалами Cerber для заражения жертв. Начав с кампании по распространению эксплойтов по email, Cerber показал стратегию развития, дойдя до распространения Ransomware-инсталляторов. Как можно видеть на картинке ниже, для распространения Cerber широко использовали наборы эксплойтов Rig, Neutrino и Magnitude, причем Magnitude EK тут был в явном фаворе.
Доход от партнерской системы работы Cerber RaaS огромен, это $195000 прибыли за июль, из которой разработчики RaaS берут себе 40%. Это составляет $78000 прибыли разрабов вредоносов в июле и сулит им $946000 в прогнозе на год!
Разработчики Cerber управляют C&C-серверами, партнерской системой, центром поддержки дистрибьюторов-аффилиатов, а также получают доход от программирования новых вымогателей, в то время как филиалы распространяют вымогателей, чтобы заражают своих жертв по всему миру.

Для того, чтобы объяснить, как работает партнерская система Cerber RaaS, Check Point выпустила инфографику, представленную ниже.

Как можно видеть на картинке ниже, для распространения Cerber широко использовали наборы эксплойтов Rig, Neutrino и Magnitude, причем Magnitude EK тут был в явном фаворе.

Когда Cerber связывается со своими C&C-серверами, то он отправляет сообщения на широкий диапазон IP-адресов. Это делается для того, чтобы правоохранителям было труднее найти сервер, но благодаря этому исследователи безопасности могут прослушивать эти IP-адреса, чтобы увидеть отправляемую информацию. 

Специальный сайт для расшифровки файлов после атаки Cerber и Cerber-2 находился по адресу: https://www.cerberdecrypt.com/RansomwareDecryptionTool/
Так выглядели сайт для расшифровки файлов и сам дешифровщик от CheckPoint, запущенный для теста набросом на cmd-файл. 
Для дешифрования файлов был нужен специальный файл "pk" (без расширения), содержащий ключ для расшифровки. Сервис от CheckPoint извлекал ключ из загруженного зашифрованного файла (не более 1 Мб), а затем сохранял его в файл "pk" и загружал сам дешифровщик cerber12dec.exe. После этого пострадавший должен был запустить cerber12dec.exe на своем ПК, чтобы дешифровщик просканировал Пк и расшифровал все файлы. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Check Point создали сайт для бесплатной расшифровки файлов. 
Этот сайт больше недоступен. См. его в веб-архиве >>  
Дешифратор от Check Point >>
Описание работы дешифровщика смотрите выше.
Статья о дешифровщике и его работе на английском >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Cerber 2.0)
 Write-up, Write-up, Topic of Support
 * 

 Видеопрезентация от  Check Point 

 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 Check Point 
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Jager

Jager Ransomware 

(JagerDecryptor)

 Этот крипто-вымогатель шифрует данные пользователей с помощью  AES-256, а затем требует написать вымогателям, чтобы уплатить выкуп от $50 в биткоинах и вернуть файлы обратно. Название JagerDecryptor придумано самими вымогателями. Разработка: mIRC Co. Ltd.

Ключ AES шифруется с помощью RSA и добавляется к концу файла вместе с AES IV и другой информацией. У каждого зашифрованного файла в первых 4 байтах будет "!ENC". 

Записки с требованием выкупа называются: Important_Read_Me.txt и Important_Read_Me.html

 Содержание записки о выкупе: 
All your files have been encrypted with RSA-2048 and AES-256 ciphers. 
To decrypt your files you need a private key which only we have on our server and nobody else.
Decryption price: 50$
Decryption price after 24h: 100$
Decryption price after 48h: 150$
After 72h: All your files will be unrecoverable
Contact us with email for more information about price and payment process (smartfiles9@yandex.com) don't forget to include your unique id (6ADF97F83ACF6453D4A6A4B1070F3754bqkmqebajjnwj)
We will use BitCoins for payment. If you haven't used BitCoins before follow this steps:
1. Start by creating a BitCoin wallet (we recommend Blockchain.info)
2. Buy neccessary amount of BitCoins, our recommendations.
We will decrypt one file for free to show that our decryptor works. You can find this document in desktop and documents folders

 Перевод записки на русский язык (стиль сохранен): 
Все ваши файлы зашифрованы с RSA-2048 и AES-256 шифрами.
Для дешифровки файлов нужен закрытый ключ, который есть только на нашем сервере.
Цена дешифровки: 50 $
Цена дешифровки через 24 ч.: 100 $
Цена дешифровки через 48 ч.: 150 $
После 72 ч. все ваши файлы будут невозвратными
Свяжитесь с нами по email для получения ещё информации о ценах и оплате (smartfiles9@yandex.com), не забудьте указать свой ID (6ADF97F83ACF6453D4A6A4B1070F3754bqkmqebajjnwj)
Мы использeем Bitcoins для оплаты. Если вы не имеете Bitcoins, следуйте этим шагам:
1. Начните с создания кошелька Bitcoin (мы рекомендуем Blockchain.info)
2. Купите нужное количество Bitcoins, наши рекомендации.
Мы дешифруем один файл бесплатно, чтобы показать работу декриптора. Вы найдете этот документ в папке на столе и документах

Распространяется с помощью email-спама и вредоносных вложений. 

 Список файловых расширений, подвергающихся шифрованию: 
.3dm, .3ds, .3g2, .3gp, .7z, .accdb, .aes, .ai, .aif, .apk, .app, .arc, .asc, .asf, .asm, .asp, .aspx, .asx, .avi, .bmp, .brd, .bz2, .c, .cer, .cfg, .cfm, .cgi, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .css, .csv, .cue, .db, .dbf, .dch, .dcu, .dds, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dtd, .dwg, .dxf, .eml, .eps, .fdb, .fla, .flv, .frm, .gadget, .gbk, .gbr, .ged, .gif, .gpg, .gpx, .gz, .h, .htm, .html, .hwp, .ibd, .ibooks, .iff, .indd, .jar, .java, .jks, .jpg, .js, .jsp, .key, .kml, .kmz, .lay, .lay6, .ldf, .lua, .m, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mfd, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpa, .mpg, .ms11, .msi, .myd, .myi, .nef, .note, .obj, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .pages, .paq, .pas, .pct, .pdb, .pdf, .pem, .php, .pif, .pl, .plugin, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .priv, .privat, .ps, .psd, .pspimage, .py, .qcow2, .ra, .rar, .raw, .rm, .rss, .rtf, .sch, .sdf, .sh, .sitx, .sldx, .slk, .sln, .sql, .sqlite, .sqlite, .srt, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlb, .tmp, .txt, .uop, .uot, .vb, .vbs, .vcf, .vcxpro, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .wpd, .wps, .wsf, .xcodeproj, .xhtml, .xlc, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .yuv, .zip, .zipx, .dat (228 расширений)

Шифровальщик пропускает файлы, находящиеся в директориях:
Application Data, AppData, Boot, ProgramData, Program Files, Program Files (x86), System Volume Information, Temp, Windows, $Recycle.Bin

Файлы, связанные с Ransomware: 
Important_Read_Me.txt
Important_Read_Me.html
<random>.exe
C:\ProgramData\encrypted.txt - список зашифрованных файлов

 Записи реестра, связанные с этим Ransomware: 
***

Сетевые подключения и связи: 
xxxx://steamcards.xyz/ghzbvychhz/  - C2
smartfiles9@yandex.com

Детект на VirusTotal >>

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Rush

Rush Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2 биткоина, чтобы вернуть файлы обратно. 

К зашифрованным файлам добавляется расширение .crashed. Жертве сообщается, что если выкуп не уплачен в течении 5 ней, то все зашифрованные файлы будут удалены. 

 Записка с требованием выкупа DECRYPT_YOUR_FILES.HTML размещается в каждой папке с зашифрованными файлами. 

 Содержание записки о выкупе: 
All your flies have been encrypted with Rush Ransomware
Your unique GUID for decrypt ***
Send me some 2 bitcoin on adress: 1MNXvRY***
After confirming the payment, all your files can be decrypted.
If you do not make payment within 5 days, you will lose the ability to decrypt them AND ALL YOUR FILES HAVE BEEN DELETED.
Make your Bitcoin Wallet on: https://www.coinbase.com/ or xxxx://blockchain.info
How to buy /sell and send Bitcoin :
1)xxxxs://support.combase.com/customer/en/portal/topics/796531-payment-method-verification/articles
2)xxxxs://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
3)xxxxs ://support.coinbase.com/customer/en/portal/topics/60 111 2-sending-receiving-bitcoin/articles
After the payment, send the wallet from which paid and your uniq ID to mail: unransom@me.com
After receiving the payment, we will contact and give you decryption tools and faq how to decrypt your files.

 Перевод записки на русский язык: 
Все ваши файлы были зашифрованы Rush Ransomware
Ваш уникальный GUID для дешифровки ***
Прислать мне 2 биткоина на адрес: 1MNXvRY ***
После проверки платежа все ваши файлы могут быть расшифрованы.
Если вы не платите за 5 дней, то потеряете возможность дешифровки и все ваши файлы будут удалены.
Сделайте себе Bitcoin-кошелёк: https://www.coinbase.com/ или xxxx://blockchain.info
Как купить / продать и отправить Bitcoin:
1) xxxxs://support.combase.com/customer/en/portal/topics/796531-payment-method-verification/articles
2) xxxxs://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
3) xxxxs ://support.coinbase.com/customer/en/portal/topics/601112-sending-receiving-bitcoin/articles
После оплаты сообщите кошелек, из которого платили и ваш уникальный ID на unransom@me.com
После получения оплаты мы свяжемся с вами, дадим дешифровщик и FAQ как дешифровать файлы.

 Распространяется с помощью email-спама и вредоносных вложений. 

 Список файловых расширений, подвергающихся шифрованию: 
.adi, .adt, .altr, .arw, .asmx, .asp, .aspx, .csv, .doc, .docx, .dwf, .html, .jpg, .msg, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .qbb, .rpt, .sldprt, .sln, .sql, .txt, .xls, .xlsx, .xml

 Файлы, связанные с Ransomware: 
***
 Записи реестра, связанные с Ransomware: 
***

Степень распространённости: низкая. 
 Подробные сведения собираются.

NoobCrypt

NoobCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 250 NZD (299 USD) в биткоинах, чтобы вернуть файлы обратно. 

Этимология названия:
Название получил за корявость и множественные ошибке в кодинге, а также за ответные фразы, в который жертва оскорбляется за ввод некорректного ключа дешифровки. Самоназвание: CryptoLocker. Видимо разработчику из румынии не дают покоя лавры реального CryptoLocker-а. 

Ориентирован, вероятно, на пользователей из Новой Зеландии, т.к выкуп указан в новозеландских и американских долларах. Но 250 новозеландских долларов эквиваленты только 175 американскими, потому налицо путаница с суммами выкупа. Примечательна также надпись, указывающая на румынское происхождение вредоноса. Также румынское происхождение имеет El-Polocker Ransomware. 

Записка о выкупе — экран блокировки с кнопками проверки платежа и дополнительной информации. Выполнено так коряво, что цифры требуемой суммы закрывают часть текста. 

Вымогательское сообщение с экрана блокировки: 
Your personal files are encrypted!
Coded in ROMANIA
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and can decrypt your files until you pay and obtain the private key.
You have 48 hours to pay 250 NZD in Bitcoins to get the decryption key.
Every 2 hours files will be deleted. Increasing in amount exery time frame. 
If you do not send money within provide $299 your files will be permanently crypted and no one will be able to recover them.
Time left until your files will be DELETED! - Don't try to trick us.
I have paid, check.
$299
1JrYNuMaE4VXKrod2gA9keBo6nzPvtaoZ6
In order to pay use a Phone or a Laptop!
Informations    CHECK

Перевод на русский: 
Ваши личные файлы зашифрованы!
Кодировано в РУМЫНИИ
Ваши документы, фото, базы данных и другие важные файлы зашифрованы сильным шифрованием и уникальным ключом только для этого ПК.
Секретный ключ находится на секретном сервере и может дешифровать файлы, пока вы платите за секретный ключ.
У вас есть 48 часов, чтобы заплатить 250 NZD в биткоинах, чтобы получить ключ дешифровки.
Каждые 2 часа файлы будут удаляться. С каждым разом всё больше.  
Если вы не заплатите в нужный срок $299, то ваши файлы останутся шифрованными и никто не сможет их восстановить.
Осталось времени до удаления ваших файлов! - Не пытайтесь обмануть нас.
Я заплатил, проверить.
$ 299
1JrYNuMaE4VXKrod2gA9keBo6nzPvtaoZ6
Для оплаты используйте телефон или ноутбук!
Кнопка "Информация". Кнопка "ПРОВЕРИТЬ"

Файлы можно расшифровать без уплаты выкупа, если ввести в поле Unlock ключ разблокировки ZdZ8EcvP95ki6NWR2j
См. скриншот. 

Если вместо указанного кода ввести какой-нибудь простой, например, 123, то вымогатель покажет предупреждение с насмешкой над жертвой: 
"123 is not the code! You idiot. GO PAY IF U WANT UR PC BACK. NOOB HAH".
"123 это не код. Ты идиот. Плати, чтобы вернуть свой ПК. Нуб, хаха."

Во фразе присутствуют ошибки, видимо текст писал ещё тот "грамотей". 

Примеры ответных фраз на ввод некорректного ключа

Распространяется с помощью email-спама и вредоносных вложений, с помощью фальшивых обновлений и установщиков, в том числе и для Adobe Flash Player. 

Список файловых расширений, подвергающихся шифрованию: 
.3g2, .3gp, .accdb, .aif, .asf, .asx, .avi, .bmp, .cdx, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .flv, .gif, .ico, .iff, .jpeg, .jpg, .m3u, .m3u8, .m4u, .mdb, .mid, .mov, .mp3, .mp4, .mpa, .pdb, .pdf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ra, .raw,  .rtf, .sldm, .sldx, .sql, .tif, .txt, .vob, .wav, .wma, .wmv, .wpd, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw (71 расширение).

Файлы, связанные с Ransomware: 
CryptoLocker.exe - исполняемый файл вымогателя с фальшивым именем. 

Детект на VirusTotal >>
Анализ на Payload Security >>

Обновление от 12 сентября 2016 г.
Новая версия: новый ключ разблокировки для $50: lsakhBVLIKAHg

Дополнение из статьи Лоуренса Абрамса
Таблица зависимых от суммы выкупа ключей теперь выглядит так:

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Сообщение >>
Статья на сайте BleepingComputer >>

Внимание! 
Файлы можно расшифровать!
Скачайте дешифровщик от Avast по ссылке >>

 Thanks:
 Jakub Kroustek
 Lawrence Abrams
 
 

Tilde, Simple

Tilde Ransomware

Simple_Encoder Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,8 биткоинов, чтобы вернуть файлы обратно.  

К зашифрованным файлам добавляется расширение .~. 

Название происходит  от английского названия этого знака tilde (тильда). Второе название: Simple_Encoder.

  Записки с требованием выкупа называются:  _RECOVER_INSTRUCTIONS.ini и img.bmp (встающее обоями). Это первый случай, когда используется файл с расширением .ini. 

Местонахождение текстового файла: 
C:\\_RECOVER_INSTRUCTIONS.ini
C:\Documents and Settings\Default User\Desktop\_RECOVER_INSTRUCTIONS.ini 
C:\Documents and Settings\Default User\Templates\_RECOVER_INSTRUCTIONS.ini 

Местонахождение графического файла: 
%TEMP%\Simple_Encoder\img.bmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Simple_Encoder\img.bmp

Графический вариант записки о выкупе

Содержание записки о выкупе _RECOVER_INSTRUCTIONS.ini: 

All your system is encrypted.

All your files (documents, photos, videos) were encrypted.

It's impossible to get access to your files without necessary decrypt key.

All your attempts to solve problem yourself will be unsuccessful!

We suggest you to read some articles about this type of encryption:

https://en.wikipedia.org/wiki/RSA_(cryptosystem)

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Now you have two options to solve the problem:

1. Format your hard disk. This way you'll lose all your files.

2. Pay 0.8 Bitcoin and get key of decryption. At the end of this ad you'll see your personal ID and our contact information.

Now you should send us email with your personal ID. This email 

will be as confirmation you are ready to pay for decryption key.

After payment we'll send you key of decryption with instructions how to decrypt the system.

Please, don't send us emails with threats. We don't read it and don't reply!

We guarantee we'll send you the decryption key after your payment so you'll get access to all your files.

Our e-mail address: one1uno243@yandex.com

YOUR PERSONAL IDENTIFIER: ***

Перевод записки на русский язык: 

Вся система зашифрована.

Все ваши файлы (документы, фото, видео) были зашифрованы.

Невозможно получить доступ к файлам без ключа дешифровки.

Все ваши попытки решить проблему самому будут неудачными!

Мы предлагаем вам прочитать статьи по этому типу шифрования:

https://en.wikipedia.org/wiki/RSA_(cryptosystem)

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Теперь у вас есть 2 варианта решения проблемы:

1. Форматировать жесткий диск. Так вы потеряете все файлы.

2. Заплатить 0,8 BTC и получить ключ дешифрования. В конце этого объявления вы увидите свой ID и контактную информацию.

Теперь вы должны отправить нам письмо с вашим личным кодом. Это письмо будет вашим согласием платить за ключ дешифрования.

После оплаты мы вышлем Вам ключ дешифрования с инструкциями как расшифровать систему.

Пожалуйста, не шлите нам письма с угрозами. Мы их не читаем и не отвечаем!

Мы гарантируем, что отправим вам ключ дешифрования после оплаты и вы получите доступ ко всем своим файлам.

Наш email-адрес: one1uno243@yandex.com

ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР: ***

Распространяется с помощью email-спама и вредоносных вложений, в том числе с документами MS Office типа bank_20160724_164650.doc и пр.

Список файловых расширений, подвергающихся шифрованию: 

.arc, .aes, .asc, .asf, .avi, .asm, .asp, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip, .djvu, .djv, .doc, .docb, .docx, .docm, .dot, .dotx, .dotm, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .java, .jar, .jpg, .jpeg, .key, .lay, .lay6, .ldf, .max, .mdb, .mid, .mkv, .mml, .mov, .mp3, .mpeg, .mpg, .ms11 (security copy), .myd, .myi, .mdf, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .pps, .ppam, .ppsm, .ppt, .pptm, .pptx, .ppsx, .psd, .qcow2, .rar, .raw, .rtf, .sch, .slk, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .svg, .swf, .sxc, .sxd, .sxi, .sxm,  .sldx, .sldm, .stw, .sxw, .tar, .tbk, .tgz, .tiff, .tif, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma,  .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (138 расширений)

Файлы, связанные с Tilde Ransomware: 

crypt.exe
_RECOVER_INSTRUCTIONS.ini
img.bmp

Сетевые подключения и связи:
one1uno243@yandex.com

Записи реестра, связанные с Tilde Ransomware: 

См. гибридный анализ ниже (Reverse)

Результаты анализов:
Анализ на VirusTotal >>
Анализ на Hybrid >>


Обновление от 25 октября:
Новый email: ki08ng7772@yandex.com
Результаты анализов: VT

Степень распространённости: низкая. 

Подробные сведения собираются.

Moth

Moth Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп BTC, чтобы вернуть файлы обратно. 

Зашифрованные файлы получают расширение: .m0th. 

© Генеалогия: Bitmessage (Ungluk) > Moth 

Записка с требованием выкупа READMEPLEASE.TXT

Содержание записки о выкупе:
Hello.
All your files have been encrypted using our extremely strong private key. There is no way to recover them without our assistance. If you want to get your files back, you must be ready to pay for them. If you are broke and poor, sorry, we cannot help you. If you are ready to pay, then get in touch with us using a secure and anonymous p2p messenger. We have to use a messenger, because standard emails get blocked quickly and if our email gets blocked your files will be lost forever.

Go to http://bitmessage.org/, download and run Bitmessage. Click Your Identities tab > then click New > then click OK (this will generate your personal address, you need to do this just once). Then click Send tab. 

TO: BM-NBH1WTEWHgxsbHH3w1LjtCix12ZMVzGE
SUBJECT: name of your PC or your IP address or both. 
MESSAGE:  Hi, I am ready to pay.

Click Send button.
You are done.

To get the fastest reply from us with all further instructions, please keep your Bitmessage running on the computer at all times, if possible, or as often as you can, because Bitmessage is a bit slow and it takes time to send and get messages. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод на русский:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. Если хотите вернуть файлы, то должны заплатить за них. Если вы разорены и бедны, извините, мы не поможем. Если вы готовы платить, то свяжитесь с нами через безопасный и анонимный p2p-мессенджер. Мы его используем, т.к. обычные email блокируются, а если мы не получим ответ, то ваши файлы будут утеряны.

Перейти к http://bitmessage.org, скачать и запустить Bitmessage. Нажать на Identities > New > кнопку ОК (будет cгенерирован ваш личный адрес, это делается только один раз). Затем клик на Send.

TO: BM-NBH1WTEWHgxsbHH3w1LjtCix12ZMVzGE
SUBJECT: имя вашего ПК или IP-адрес, или оба.
MESSAGE: Привет, я готов платить.

Нажмите кнопку Send.
Вы это сделали.

Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.

Технические детали

Распространяется с помощью email-спама и вредоносных вложений (скрипты, макросы и пр.), ссылок на зараженные эксплойтами сайты. 

Цели шифрования: базы данных, документы, PDF, музыка, видео, общие сетевые папки и пр. По завершении шифрования крипто-вымогатель удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию: 

png .psd .pspimage .tga .thm .tif .tiff .yuv .ai .eps .ps .svg .indd .pct .pdf .xlr .xls .xlsx .accdb .db .dbf .mdb .pdb .sql .apk .app .bat .cgi .com .exe .gadget .jar .pif .wsf .dem .gam .nes .rom .sav cad files .dwg .dxf gis files .gpx .kml .kmz .asp .aspx .cer .cfm .csr .css .htm .html .js .jsp .php .rss .xhtml. doc .docx .log .msg .odt .pages .rtf .tex .txt .wpd .wps .csv .dat .ged .key .keychain .pps .ppt .pptx ..ini .prf encoded files .hqx .mim .uue .7z .cbr .deb .gz .pkg .rar .rpm .sitx .tar.gz .zip .zipx .bin .cue .dmg .iso .mdf .toast .vcd sdf .tar .tax2014 .tax2015 .vcf .xml audio files .aif .iff .m3u .m4a .mid .mp3 .mpa .wav .wma video files .3g2 .3gp .asf .avi .flv .m4v .mov .mp4 .mpg .rm .srt .swf .vob .wmv 3d .3dm .3ds .max .obj r.bmp .dds .gif .jpg ..crx .plugin .fnt .fon .otf .ttf .cab .cpl .cur .deskthemepack .dll .dmp .drv .icns .ico .lnk .sys .cfg (155 расширений). 

Файлы, связанные с Ransomware: 
READMEPLEASE.TXT
<random>.exe

Записи реестра, связанные с Ransomware: 
***

Степень распространенности: низкая.
Подробные сведения собираются.