Если вы не видите здесь изображений, то используйте VPN.

четверг, 27 октября 2016 г.

CryptoWire

CryptoWire Ransomware

CryptoWire Ransomware family

(шифровальщик-вымогатель, OSR)

Translation into English


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,29499335 биткоина (сумма может отличаться), чтобы вернуть файлы. 

Название дали вымогатели. Написан на AutoIt. Концепт был загружен на GitHub анонимным пользователем. Содержит ZIP-архив с исходным кодом Ransomware и файл README с рекламой возможностей CryptoWire.



© Генеалогия: Начало.
CryptoWire OSR (Open Source Ransomware) >> собственно CryptoWire, Lomix, UltraLockerKingOuroboros и др.

К зашифрованным файлам добавляется расширение .encrypted, но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.encrypted.original_file_extension. 


Таким образом файл Important.docx станет Important.encrypted.docx

Добавочное расширение можно менять на любое другое. 

Обнаружен в октябре 2016 г. Ориентирован на англоязычных пользователей. В последствии претерпел немало модификаций. 

Запиской с требованием выкупа выступает блокировщик экрана CryptoWire.


Содержание текста с экрана блокировки:
Your files has been safely encrypted
*** buttons ***
The only way you can recover your files it to buy a decryption key
The payment method is: Bitcoins. The price if: $200 = 0.29499335 Bitcoins
Click on the 'Buy decryption key' button.

Перевод текста на русский язык:
Твои файлы безопасно зашифрованы
*** кнопки ***
Только одним способом ты можешь вернуть свои файлы, это купить ключ дешифрования
Способ оплаты: биткоины. Цена: $200 = 0.29499335 биткоина
Нажмите кнопку 'Buy decryption key'.

Другие скриншоты:





Технические детали

После реализации этого проекта крипто-вымогатель может распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Будьте бдительны! 

➤ На системном диске вымогателем выполняется ряд деструктивных функций:
- удаляются тома теневых копий файлов;
- отключается исправление системы при загрузке;
- отключается восстановление системы из точек восстановления. 

➤ Файлы шифруются не на основе расширения, а по размеру. Максимальный предельный размер файла 30 Мб, размер регулируется. Это нужно для того, чтобы сохранить высокую производительность ПК, в то время как большинство файлов будут шифроваться.


➤ Шифруются все файлы (меньше 30 Мб) на локальных и сетевых дисках, общих сетевых ресурсах, USB-накопителях, внешних дисках, файлы игр, включая Steam, файлы на любом облачным сервисе, который работает на данном ПК (Onedrive, Dropbox, Google Drive). Шифровать все файлы или выборочно заложено в настройках исходника.  

Список файловых расширений, подвергающихся шифрованию (в исходнике):
.3fr, .7z, .abw, .accdb, .afsnit, .ai, .aif, .arc, .arw, .as, .asc, .asd, .asf, .ashdisc, .asm, .asp, .aspx, .asx, .aup, .avi, .bay, .bbb, .bdb, .bibtex, .bkf, .bmp, .bmp, .bpn, .btd, .bz2, .c, .cdi, .cdr, .cer, .cert, .cfm, .cgi, .cpio, .cpp, .cr2, .crt, .crw, .csr, .cue, .dbf, .dcr, .dds, .dem, .der, .ding, .dng, .doc, .docm, .docx, .dsb, .dwg, .dxf, .dxg, .eddx, .edoc, .eml, .emlx, .eps, .eps, .epub, .erf, .fdf, .ffu, .flv, .gam, .gcode, .gho, .gpx, .gz, .h, .hbk, .hdd, .hds, .himmel, .hpp, .ics, .idml, .iff, .img, .indd, .ipd, .iso, .isz, .iwa, .j2k, .jp2, .jpeg, .jpf, .jpg, .jpm, .jpx, .jsp, .jspa, .jspx, .jst, .kdc, .key, .keynote, .kml, .kmz, .lie, .lwp, .lzma, .m3u, .m4a, .m4v, .max, .mbox, .md2, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mds, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpb, .mpeg, .mpg, .mpj, .mpp, .mrw, .msg, .mso, .nba, .nbf, .nbi, .nbu, .nbz, .nco, .nef, .nes, .note, .nrg, .nri, .nrw, .odb, .ode, .odm, .odp, .ods, .odt, .ogg, .one, .orf, .ova, .ovf, .oxps, .p2i, .p65, .p7, .p7b, .p7c, .pages, .pdd, .pdf, .pef, .pem, .pem, .pet, .pfx, .php, .php3, .php4, .php5, .phps, .phpx, .phpxx, .phtm, .phtml, .pi, .pl2, .plist, .pmd, .pmx, .png, .ppdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psd, .psd, .pspimage, .pst, .ptx, .pub, .pvm, .qcn, .qcow, .qcow2, .qt, .r3d, .ra, .raf, .rar, .raw, .rify, .rm, .rtf, .rtf, .rw2, .rwl, .s, .sbf, .set, .skb, .slf, .sme, .smm, .snp, .spb, .sql, .sr2, .srf, .srt, .srw, .ssc, .ssi, .stg, .stl, .svg, .swf, .sxw, .syncdb, .tager, .tc, .tex, .tga, .thm, .tif, .tiff, .til, .toast, .torrent, .txt, .vbk, .vcard, .vcf, .vdi, .ved, .vfs4, .vhd, .vhdx, .vmdk, .vob, .vsdx, .wav, .wb2, .wblc, .wbve, .webm, .wmb, .wpb, .wpd, .wps, .wps, .x3f, .xdw, .xlk, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlsx, .xz, .yuv, .zip, .zipx (283 расширения). 

➤ Старые незашифрованные файлы перезаписываются по 10 раз, а затем удаляются навсегда. Зашифрованные файлы оставляются на случай возврата после уплаты выкупа. Всё, что находится в RecycleBin будет перезаписано 10 раз и удалено навсегда.

➤ Если ПК жертвы присоединён к домену (ПК компании), то сумма выкупа будет в 10 раз больше (регулируется).

Файлы, связанные с CryptoWire Ransomware:
CryptoWire.exe
<random_name>.exe
README.txt

Записи реестра, связанные с CryptoWire Ransomware:

См. ниже Гибридный анализ. 

Сетевые подключения:
blockchain.info (104.16.54.3)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>   Ещё >>

Степень распространённости: средняя.
Подробные сведения собираются.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoWire - 27 октября 2016
Lomix - 24 ноября 2016
UltraLocker - 10 декабря 2016
Обновление CryptoWire - см. здесь, ниже.
KingOuroboros - июнь 2018




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 марта 2017:
Файл: BTC hacker v14.2 by ignisteam.exe
Расширение: .encrypted
Шаблон зашифрованного файла: <original_file_name>.encrypted.<original_file_extension>
Записка: TEXT FILE.txt
Сумма выкупа: 500$
Email: hugoran1@gmx.com
Результаты анализов: VT

Вариант от 10 марта 2017:
Доп. название: OwlRansomware
Файл: OwlRansom.exe
Результаты анализов: VT


Обновление от 5 апреля 2017:

Пост в Твиттере >>
Файл: AA_V3.exe
Заголовок экрана блокировки: realfs0ciety@sigaint.org.fs0ciety
Промежуточное расширение: .realfs0ciety@sigaint.org.fs0ciety
Это расширение добавляется в название файла, между его именем и расширением. Оригинальное имя файла и его расширение не изменяются. 
Видеообзор от GrujaRS >>
Результаты анализов: HA+VT

=== 2018 ===

Обновление от 12 апреля 2018:
Пост в Твиттере >>
Заголовок экрана блокировки: CryptoWire 
Код разблокировки: VgjRPoOM0oa92_jId!/wkMeW6,guuSe
Промежуточное расширение: .encrypted
Добавляется между оригинальным именем и оригинальным расширением файла, как и раньше. 
Email: wlojul@secmail.pro
Результаты анализов: HA + VT + VMRay


 Скриншоты экрана блокировки

➤ Список файловых расширений:
.3fr, .7z, .abw, .accdb, .afsnit, .ai, .aif, .arc, .arw, .as, .asc, .asd, .asf, .ashdisc, .asm, .asp, .aspx, .asx, .aup, .avi, .bay, .bbb, .bdb, .bibtex, .bkf, .bmp, .bmp, .bpn, .btd, .bz2, .c, .cdi, .cdr, .cer, .cert, .cfm, .cgi, .cpio, .cpp, .cr2, .crt, .crw, .csr, .cue, .dbf, .dcr, .dds, .dem, .der, .dmg, .dng, .doc, .docm, .docx, .dsb, .dwg, .dxf, .dxg, .eddx, .edoc, .eml, .emlx, .EPS, .eps, .epub, .erf, .fdf, .ffu, .flv, .gam, .gcode, .gho, .gpx, .gz, .h, .hbk, .hdd, .hds, .himmel, .hpp, .ics, .idml, .iff, .img, .indd, .ipd, .iso, .isz, .iwa, .j2k, .jp2, .jpeg, .jpf, .jpg, .jpm, .jpx, .jsp, .jspa, .jspx, .jst, .kdc, .key, .keynote, .kml, .kmz, .lic, .lwp, .lzma, .M3U, .M4A, .m4v, .max, .mbox, .md2, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mds, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpb, .mpeg, .mpg, .mpj, .mpp, .mrw, .msg, .mso, .nba, .nbf, .nbi, .nbu, .nbz, .nco, .nef, .nes, .note, .nrg, .nri, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .ogg, .one, .orf, .ova, .ovf, .oxps, .p12, .p2i, .p65, .p7, .p7b, .p7c, .pages, .pct, .pdd, .pdf, .pef, .PEM, .pem, .pfx, .php, .php3, .php4, .php5, .phps, .phpx, .phpxx, .phtm, .phtml, .pl, .plist, .pmd, .pmx, .png, .ppdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .PSD, .psd, .pspimage, .pst, .ptx, .pub, .pvm, .qcn, .qcow, .qcow2, .qt, .r3d, .ra, .raf, .rar, .raw, .rm, .rtf, .rtf, .rw2, .rwl, .s, .sbf, .set, .skb, .slf, .sme, .smm, .snp, .spb, .sql, .sr2, .srf, .srt, .srw, .ssc, .ssi, .stg, .stl, .svg, .swf, .sxw, .syncdb, .tager, .tc, .tex, .tga, .thm, .tif, .tiff, .til, .toast, .torrent, .txt, .vbk, .vcard, .vcd, .vcf, .vdi, .vfs4, .vhd, .vhdx, .vmdk, .vob, .vsdx, .wav, .wb2, .wbk, .wbverify, .webm, .wmb, .wpb, .wpd, .WPS, .wps, .x3f, .xdw, .xlk, .xlr, .xls, .xlsb, .xlsm, .XLSX, .xlsx, .xz, .yuv, .zip, .zipx (282 расширения).
В определённых папках пользователя, например, на Рабочем столе, он шифрует все найденные файлы. 
➤ Содержание текста о выкупе: 
The only way you can recover your files is to buy a decryption key
The payment method is: Bitcoins. The price is: $1000 = Bitcoins
When you are ready, send a message by email to wlojul@secmail.pro
We will send you our BTC wallet for the transfer
After confirmation we will send you the decryption key
Click on the 'Buy decryption key' button.


=== 2019 ===

Обновление от 27 апреля 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Самоназвание:  BellevueCollegeEncryptor
Вместо расширения используется вставка DesktopReadme между названием файла и его расширением. Пример такого файла: 1DesktopReadme.jpg
Записка: 
Email: BellevueInject@openmailbox.org
BTC: bc1q2m68av8knhz9zkexzz8dn8ll9wyxz76ss47upm
URL: http://www.bellevueinject.dx.am/***
Мьютекс: BellevueCollegeEncryptor
Результаты анализов: VT + VMR





=== 2020 ===

Обновление от 14-15 февраля 2020:
Пост в Твиттере >>

Пост в Твиттере >>
Самоназвание: JackSparrow 
Как и прежде вместо расширения используется вставка в название по шаблону: original_file_name.encrypted.original_file_extension
Email: jacksparrow@protonmail.com
Файл: JackSparrow.exe
Результаты анализов: VT + VMR + HA / VTVT + VTVT + VT 

  



Обновление от 24 июля 2020: 
Пост в Твиттере >>
Самоназвание FlyingShip Ransomware
Email: flyingship@mail2tor.com
BTC: 169M3wiaij1zucuASBXTT6egQuQJBckBrt
Результаты анализов: VT + VMR


Содержание текста на экране:
The only way you can recover your files is to buy a decryption key, After you buy the required amount send the payment to 169M3wiaij1zucuASBXTT6egQuQJBckBrt, After you send the payment, please send your PC ID to this email: flyingship@mail2tor.com to get your decryption key
PC ID: YY8PSNGThe payment method is: Bitcoins. The price is: $200 = Bitcoins
Click on the 'Buy decryption key' button.







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: 
ID Ransomware (ID as CryptoWire)
Video review
Tweet on Twitter 
Added later:
Write-up on April 12, 2018
*
*
 Thanks: 
 Michael Gillespie, Karsten Hahn
 GrujaRS, 
 Bart

© Amigo-A (Andrew Ivanov): All blog articles.

Hucky

Hucky Ransomware
Hungarian Locky Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128+RSA, а затем требует выкуп, чтобы вернуть файлы. Название получил от составления частей слов Hungarian Locky: Hu + cky. Такое решение было принято исследователями из компании Avast из-за стремления вымоагтелей-разработчиков выдать своё творение за настоящий Locky. 

© Генеалогия: Locky > Hungarian Locky

К зашифрованным файлам добавляется расширение .locky. Настоящее имя файла не меняется. 

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на венгерских пользователей.

Записки с требованием выкупа называются: 
_Adatok_visszaallitasahoz_utasitasok.txt (т.е. Инструкции по восстановлению данных)
_locky_recover_instructions.txt
Fontos Informacio.bmp


Содержание записки о выкупе:
!!! FONTOS INFORMÁCIÓ !!!!
Az összes fájlja le lett titkosítva RSA-3072 és AES-128 titkosításokkal.
RSA és az AES titkosításokról itt olvashat részletesebben :
https://hu.wikipedia.org/wiki/RSA-eljárás
https://hu.wikipedia.org/wiki/Advanced_Encryption_Standard
A fájljai visszanyeréséhez szüksége van a titkos kulcsra valamint egy vissza titkosító programra.
A kulcs megszerzéséhez kérem kövesse az alábbi lépéseket:
1. Küldje el e-mailbe a azonosító kódját locky@mail2tor.com címre !
Ha gondolja küldje el egy 1 Mb-nál kisebb fájlját és visszakódoljuk.
Hogy bebizonyítsuk képesek vagyunk visszaállítani az adatait.
(Kérem az e-mail csak a azonosító kódot valamint az esetleges csatolmányt tartalmazza)
3. Figyelje e-mail fiókját mert 24 órán belül levelet küldünk önnek !
A levélben megkapja a visszakódolt fálját,valamint a vissza titkosító programot.
Kövesse a levélben lévő utasításokat I
!!! Az ön azonosító kódja !!!
***
↑ Ezt a hosszú kódot a jegyzettömbből lehet kimásolni

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все файлы зашифрованы с помощью шифрования RSA-3072 и AES128.
О RSA и AES шифрах можете узнать больше здесь:
https://hu.wikipedia.org/wiki/RSA-eljárás
https://hu.wikipedia.org/wiki/Advanced_Encryption_Standard
Чтобы вернуть файлы, нужно получить секретный ключ и программу дешифрования.
Чтобы получить ключ, пожалуйста, выполните следующие действия:
1. Отправьте на email-адрес locky@mail2tor.com идентификационный код!
Если хотите, пришлите файл в размере 1 МБ для расшифровки.
Для того, чтобы доказать, что мы можем восстановить данные.
(Пожалуйста, email должно содержать только идентификационный код, а также вложении)
3. Обратите внимание, проверяйте почту, мы вышлем вам письмо в течение 24 часов!
Вы получите во ввложении расшифрованный файл и программу дешифрования.
Следуйте инструкциям в письме.
!!! Ваш идентификационный код !!!
***
 Этот длинный код может быть скопирован из блокнота

Как показал анализ, вымогательский текст был переведен на венгерский с помощью системы автоматизированного перевода, в том числе в тексте отсутствует пункт 2 и сразу после 1-го идет 3-й. 

Распространяется Hucky с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Создатели этого венгерского крипто-вымогателя стремились к тому, чтобы запугать своих жертв "крутым" шифровальщиком Locky. Перечислим ряд замеченных исследователями признаков и сравним их с признакоами реального Locky. 

Первым их них является расширение .locky, добавляемое к зашифрованным файлам, тогда как реальный Locky уже давно "отказался" от его использования. Также Hucky, в отличие от реального Locky, выполняет шифрование в автономном режиме, т.е. без обращения к C&C-серверу. 

Пока пользователь, неострожно открывший вредоносное влложение, просматривает фиктивный документ Word, производится шифрование файлов. Hucky может перезапустить ПК после завершения процесса шифрования, чтобы удалить свои файлы и следы работы, которые могут помочь узнать ключ дешифрования. 

Требования выкупа Hucky отображает на венгерском в виде текстовых файлов и дублирует их на изображении, встающем обоями рабочего стола. Тогда как реальный Locky выводил тексты только на английском языке. Locky запрашивал уплату Bitcoin через Tor-сайт, а Hucky требует от жертвы написать на email адрес в Mail2Tor. На изображение Hucky, встающем обоями, есть маленькая картинка жёлтого замка, которого у реального Locky нет.

Список файловых расширений, подвергающихся шифрованию, у Hucky состоит всего из 200 шт., что составляет лишь половину списка, используемого Locky. Вымогатель Hucky кроме того нацелен на видео-файлы игр, которые используются в StarCraft2, World of Tanks и Minecraft.

Другим отличием является используемый язык программирования: Locky был создан с помощью Microsoft Visual C ++, а Hucky основан на Microsoft VisualBasic.

Все диалоги Hucky с жертвами написаны на венгерском языке. Исполняемые файлы Hucky распространяются только в Венгрии и связаны с такими названиями, как semmi.exe (венгерское слово "ничто") или turul.exe (название венгерского национального символа). Кроме того, венгерский текст используется в коде Hucky, в пространстве имён, методах, переменных и т.д.

Список файловых расширений, подвергающихся шифрованию:
200 расширений, в их числе файлы документов MS Office, PDF, изображения, аудио-видео, файлы игр. 

Файлы, связанные с Hucky Ransomware:
_Adatok_visszaallitasahoz_utasitasok.txt (Инструкции по восстановлению данных)
_locky_recover_instructions.txt
\Startup\mgtow.exe
\Startup\Java Update.exe
\Startup\Fontos Informacio.bmp
\Temp\monodocu.dat
\Temp\d3m4g0g.dat
\Temp\\[A-Za-z0-9]{6}\.bat$/

Записи реестра, связанные с Hucky Ransomware:
***

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Blog Avast
 ID Ransomware
 *
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Winnix Cryptor

Winnix Cryptor Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, с использованием ПО для шифрования с открытым исходным кодом на GNU Privacy Guard (GnuPG). Сумма выкупа: 2-4 биткоина, чтобы вернуть файлы. Название дано вымогателями. Разработка: Winnix Cryptor Team. 

© Генеалогия: выясняется

К зашифрованным файлам добавляется расширение .wnx.

Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. Ориентирован на англоязычных пользователей. В ноябре-декабре вредоносная кампания с Winnix Cryptor докатилась до России. 

Записки с требованием выкупа называются: YOUR FILES ARE ENCRYPTED!.txt

Содержание записки о выкупе:
Your files are encrypted!
Your files have been safely encrypted on this PC: photos, documents, databases, etc. Encryption was produced using a unique public key generated for this computer. To decrypt files you need to obtain the private key.
The only way to get the private key is to pay 4 BTC. You saved it on qualified system administrator who could make your network safe and secure.
In order to decrypt the files send your bitcoins to the following address:
13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by
After you complete your payment, send an email to 6214ssxpvo@sigaint.org with YOUR ID as subject (ID is in the end of the file) and you'll receive private key, needed software and step by step guide in 1 business day.
Offer is valid for 5 business days (expiration date is in the end of the file). AFTER TIME IS UP, PRICE DOUBLES.
No discounts, no other payment methods.
How to buy bitcoins?
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins
Do not forget about the transaction commission in the Bitcoin network (= 0.0005).
Here are our recommendations:
LocalBitcoins.com – the fastest and easiest way to buy and sell Bitcoins;
CoinCafe.com – the simplest and fastest way to buy, sell and use Bitcoins;
BTCDirect.eu – the best for Europe;
CEX.IO – Visa / MasterCard;
CoinMama.com – Visa / MasterCard;
HowToBuyBitcoins.info – discover quickly how to buy and sell bitcoins in your local currency.
More questions?
Send an email to 6214ssxpvo@sigaint.org
ID: ***
EXP DATE: Sept. 12 2016
--
Winnix Cryptor Team

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваши файлы безопасно зашифрованы на этом компьютере: фото, документы, базы данных и т.д. Шифрование произведено с использованием уникального открытого ключа, сгенерированного для этого компьютера. Для расшифровки файлов вам нужно получить секретный ключ.
Единственный способ, чтобы получить секретный ключ, надо заплатить 4 BTC. Вы сохранили его на квалифицированного системного администратора, который мог бы сделать вашу сеть безопасной и надежной.
Для того, чтобы расшифровать файлы отправьте биткоины по данному адресу:
13gYXFxpzm7hAd4esdnJGt9JvYqyD1Y6by
После завершения оплаты, отправьте письмо на email 6214ssxpvo@sigaint.org со своим идентификатором как тема (ID находится в конце файла), и вы получите секретный ключ, необходимую программу и пошаговое руководство в течение 1 рабочего дня.
Предложение действует в течение 5 рабочих дней (дата окончания срока есть в конце этого файла). ПО ИСТЕЧЕНИИ ВРЕМЕНИ ЦЕНА УДВОИТСЯ.
Скидок и никаких других способов оплаты нет.
Как купить биткойны?
1. Создайте Bitcoin-кошелек (мы рекомендуем Blockchain.info)
2. Купите необходимое количество биткоинов
Не забывайте о комиссии транзакции в Bitcoin-сети (= 0,0005).
Вот наши рекомендации:
LocalBitcoins.com - самый быстрый и простой способ купить и продать биткойны;
CoinCafe.com - самый простой и быстрый способ купить, продать и использовать биткойны;
BTCDirect.eu - лучший для Европы;
CEX.IO - Visa / MasterCard;
CoinMama.com - Visa / MasterCard;
HowToBuyBitcoins.info - быстро найти, как купить и продать биткойны в местной валюте.
Ещё есть вопросы?
Отправь по email 6214ssxpvo@sigaint.org
ID: ***
СРОК: 12 сентября 2016
--
Winnix Cryptor Team

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Не исключён взлом по протоколу удаленного рабочего стола (RDP), с помощью вредоносных плагинов для систем управления сайтов, имеющих скрытый функционал бэкдора, или с помощью загрузки файлов через специальные инструменты удалённого управления, RAT и ботнеты.

Активно работает с планировщиком заданий, производит зачистку своих действий и очищает логи Windows. После шифрования теневые копии файлов удаляются. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .avhd, .backup, .bak, .blb, .bls, .cdr, .cdx, .cer, .cf, .db6, .dbase, .dbf, .dbv, .djvu, .doc, .docx, .dt, .edb, .fdb, .gdb, .jpeg, .jpg, .key, .ldf, .lgf, .lgp, .mcx, .md, .mdb, .mdf, .mlg, .mrimg, .nx, .ora, .pdf, .pps, .ppsx, .ppt, .pptx, .psd, .pst, .rar, .sql, .tar, .tbl, .tib, .trn, .udb, .vhd, .vhdx, .vib, .xls, .xlsx, .zip (56 расширений). 
Это документы MS Office, PDF, 1С Бухгалтерия, базы данных, изображения, архивы, файлы образов и другие файлы.

Пропускаются файлы с расширениями: .exe, .dll, .lnk, .bat, .ini, .msi, .scf.

Файлы, связанные с Winnix Cryptor Ransomware:
YOUR FILES ARE ENCRYPTED!.txt
gpg.exe - утилита GnuPG
%WINDIR%\tracing\<Disk_letter>.bat - несколько файлов для каждого диска: C.bat, D.bat и пр.;
%WINDIR%\tracing\0system.bat - конфиг-файл шифровальщика;
%WINDIR%\tracing\addwin.bat - добавление заданий по шифрованию файлов;
%WINDIR%\tracing\delwin.bat - зачистка заданий по шифрованию файлов;
%WINDIR%\logs.cmd - ежечасная очистка логов Windows;
%WINDIR%\tracing\ClearAllWinEventLogs.cmd - дубль-очистка логов Windows;
%WINDIR%\tracing\winnix_pub.asc - публичный ключ, созданный на стороне вымогателей;
%WINDIR%\system32\config\systemprofile\Application Data\gnupg\secring.gpg - секретный ключ, на компьютере уничтожается (перезаписывается мусором), дубликат находится у вымогателей, без него дешифровка невозможна;
и другие файлы. 

Командный файл <Disk_letter>.bat импортирует публичный ключ в GnuPG и запускает процесс шифрования файлов на каждом диске. 

Задав каждому bat-файлу отдельный диск, злоумышленники защитили компоненты вредоноса, т.к. если работа одного из них по какой-то причине будет прервана, то другие продолжат шифрование на другом диске. 

Записи реестра, связанные с Winnix Cryptor Ransomware:

См. результаты анализов. 

Сетевые подключения:
См. результаты анализов. 

Результаты анализов:
Гибридный анализ >>   Ещё >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 Thanks: 
 Michael Gillespie
 al1963 (for tips by encryption)
 mike 1 (for addition by bat-files)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 23 октября 2016 г.

AngryDuck

AngryDuck Ransomware


   Этот крипто-вымогатель шифрует данные пользователей якобы с помощью AES-512, а затем требует выкуп в 10 биткоинов (это ~$7300), чтобы вернуть файлы. Название получил от заголовка фразы в тексте о выкупе. 

© Генеалогия: выясняется

К зашифрованным файлам добавляется расширение .adk. Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Текстовой записки с требованием выкупа нет.

Скринлок, встающий обоями рабочего стола, состоит из фото сердитой утки и четырежды повторенной записки о выкупе. 

Содержание текста о выкупе:
ANGRY DUCK!
All your important files have been encrypted using very string cryptography (AES-512 With RSA-64 FIPS grade encryption).
To recover your files, send 10 BTC to my private wallet
DON'T MESS WITH THE DUCKS!!!

Перевод текста на русский язык:
УТКИ СЕРДИТЫ!
Все твои важные файлы зашифрованы очень сильной криптографией (AES-512 с RSA-64 FIPS-класса шифрования).
Для возврата файлов пошли 10 BTC на мой бумажник
НЕ СВЯЗЫВАЙСЯ С УТКАМИ!!!

Примечательно, что текст содержит не только лексические ошибки (слово string вместо strong), но также ошибки в названии алгоритмов шифрования — AES-512 ещё не используется, а RSA-64 может быть легко взломан. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
.3gp,  .7z,  .avi,  .bmp,  .csv,  .djvu, .doc,  .docm,  .docx,  .epub,  .flv,  .gif,  .ibooks,  .jpeg,  .jpg,  .mkv,  .mov,  .mp3,  .mp4, .mpeg,  .mpg,  .pdf,  .pict,  .pkg,  .png,  .pps,  .ppsx,  .ppt, .pptx,  .rtf,  .tif,  .tiff,  .torrent,  .txt,  .vsd, .wmv,  .xls,  .xlsx,  .xml,  .xps (40 расширений). 

Файлы, связанные с Ransomware:
***
Записи реестра, связанные с Ransomware:
***
Сетевые подключения:
***
Результаты анализов:
***

Степень распространённости: низкая или единичные случаи.
Подробные сведения собираются.

Read to links: 
ID Ransomware
Tweet on Twitter
 Thanks: 
 Michael Gillespie
 
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 22 октября 2016 г.

Lock93

Lock93 Ransomware 


   Этот крипто-вымогатель шифрует данные требует отправить код на email, чтобы получить инструкцию для уплаты выкупа в 1000 рублей. После уплаты выкупа присылается код разблокировки для расшифровки файлов. К зашифрованным файлам добавляется расширение .lock93. Название получил от добавляемого к файлам расширения. 

© Генеалогия: Crypt38 > Lock93

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на русскоязычных пользователей. Добавлен записка и скринлок на английском языке, так как выкуп всё равно требуется уплатить в рублях. 

Записки с требованием выкупа располагаются на рабочем столе и называются: 
ИНСТРУКЦИЯ INSTRUCTION.txt


Кроме записки используется экран блокировки с тем же текстом. 

Содержание записки о выкупе:
Для расшифровки данных отправьте код на E-mail
После этого вы получите инструкции по оплате
После оплаты вы получите код разблокировки и все данные будут расшифрованы
Не удаляйте и не редактируйте файлы с расширением lock93 и фалы самого вируса, т. к. это может привести к потере данных
Стоимость расшифровки: 1000 рублей
----------------------------------------------------------
Send the code to the e-mail
You will get payment instructions
After payment you will get the unlock code and your data will be decrypted
Do not delete or modify files with extension lock93 and virus files because it can destroy your data
Price: 1000 RUR
----------------------------------------------------------
Код для отправки/code: 27575
E-mail: oplaticydadeng@mail. ru
Запасной E-mail/Reserve E-mail: zaplatiddeng@yandex.ru

Email вымогателей:
oplaticydadeng@mail.ru
zaplatiddeng@yandex.ru

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Lock93 Ransomware:
ИНСТРУКЦИЯ INSTRUCTION.txt

Записи реестра, связанные с Lock93 Ransomware:
***
Сетевые подключения:
***
Результаты анализов:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Topic on BC
ID Ransomware
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie (Demonslay335)

 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 21 октября 2016 г.

ASN1 Encoder

ASN1 Encoder Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,25-0,5 биткоинов, чтобы вернуть файлы. Название получил из-за использования ASN1-ключа. Оригинальное название: segui.

© Генеалогия: неизвестна

К зашифрованным файлам расширение не добавляется.

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на итальянских пользователей.

Записки с требованием выкупа называются: !!!!!readme!!!!!.htm

Содержание записки о выкупе на итальянском:
Tutti i file sono stati cifrati!
1. Scaricare e installare Tor Browser (consigliata) o utilizzare il browser standard.
2. Seguire il link che stato generato per voi.
3. Nella pagina successiva si vedr un portafoglio Bitcoin a pagare, dopo si paga, si otterr la chiave per decifrare i file.
4. Evidenziare (CTRL + A) e copia (CTRL + C) la chiave nella clipboard, decodifica inizier.
5. Per favore, non aprire i file durante la decrittografia - ha aperto i file non possono essere decifrati.
http://dxostywsduvmn6ra.onion/if.php?iso=it&dt=nd&uid=[redacted]&pin=[redacted]&ref=6ad3135e40908d4bdbf24af6265f9b1b&cnt=1000
http://dxostywsduvmn6ra.onion.cab/if.php?iso=it&dt=nd&uid=[redacted]&pin=[redacted]&ref=6ad3135e40908d4bdbf24af6265f9b1b&cnt=1000

Перевод записки на русский язык:
Все файлы зашифрованы!
1. Скачайте и установите Tor Browser (рекомендуется) или используйте стандартный браузер.
2. Перейдите по ссылке, которая была создана для вас.
3. На следующей странице вы увидите Bitcoin-кошелек, чтобы заплатить, после оплаты вы получите ключ для расшифровки файлов.
4. Выделите (CTRL + A) и скопируйте (CTRL + C) ключ в буфер обмена чтобы начать декодирование.
5. Пожалуйста, не открывайте файлы при расшифровке - открытые файлы не будут расшифрованы. 
хттп://dxostywsduvmn6ra.onion/if.php***
хттп://dxostywsduvmn6ra.onion.cab/if.php***

По ссылкам открывается onion-сайт со следующим содержанием.
Сначала сумма выкупа была 0,25, а сейчас уже 0,5. В скобках по-прежнему стоит 0. Это говорит о том, что пострадавшая сторона не заплатила выкуп, и он удвоился. 

Содержание текста с сайта:
Your files were encrypted!
0.5(0) BTC -> 1ATXMvsbKRrGpNFbKrJAQXgT8XEbaHjSAi (0:21:31:28)
For getting decryption key you must to pay amount, written above, to bitcoin address, written above. Amount in brackets indicates already paid amount. For buy bitcoin online, google it now. This page will refreshed every 120 seconds. If you already paid, please, wait for page refreshing.
If sofware was deleted, download it now. Absense of payment during next five days will double amount.
Chat with support now

Красным цветом выделены слова с ошибками. 

Перевод на русский язык:
Ваши файлы зашифрованы!
Для получения ключа дешифрования вы должны заплатить сумму, написанную выше, на Bitcoin-адрес, написанный выше. Сумма в скобках указывает на уже оплаченную сумму. Чтобы купить Bitcoin в Интернете, гугли сейчас. Эта страница будет обновляться каждые 120 секунд. Если вы уже оплатили, пожалуйста, подождите обновления страницы.
Если программа была удалена, скачайте её снова. Без оплаты в течение следующих пяти дней сумма удвоится.
Чат с поддержкой

Ещё текст записки:
YOUR FILES WERE ENCRYPTED!
1. Download and install TOR browser (recommended) or use your standard browser.
2. Follow the link that was generated for you.
3. On the next page you will see a Bitcoin wallet to pay, after you pay, you will get the key for decrypting your files.
4. Highlight (CTRL + A) and copy (CTRL + C) the key in clipboard, decoding will start.
5. Please, do not open files during decryption - opened files can not be decrypted

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, эксплойта RIG.

После шифрования удаляются теневые копии файлов командой:
vssadmin.exe delete shadows /all /quiet 

Список файловых расширений, подвергающихся шифрованию:
В первую очередь файлы документов, изображений и прочие. 

Файлы, связанные с ASN1 Encoder Ransomware:
<random_name>.exe - вредоносное вложение;
!!!!!readme!!!!!.htm - записка о выкупе;
segui.exe - декриптор от вымогателей. 
%APPDATA%\db05dbac.exe
%TEMP%\nskE285.tmp\System.dll
%TEMP%\stockhorns.dll
и другие. 

Записи реестра, связанные с ASN1 Encoder Ransomware:
См. ниже результата анализов. 

Сетевые подключения:
хттп://nsis.sf.net/NSIS_Error
www.torproject.org/download/download.html
dxostywsduvmn6ra.onion

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.


Обновление от 25 ноября 2016:
Пост в Твиттере
Записка: !!!!!readme!!!!!.htm 
Результаты анализов: VT

Обновление от 25 ноября 2016:
Файлы: !!!!!readme!!!!!.htm  Readme.txt
%APPDATA%\43eea007.exe  <random>.exe
43eea007.exe.dat  <random>.exe.bat
Результаты анализов: VT, HA
Блокировщик экрана: 



Обновление от 2 марта 2017:
Пост в Твиттере >>
Записка: !!!!!readme!!!!!.htm
Сумма выкупа: 0.5 BTC
Расширения: нет
Распространение: эксплойт RIG




Обновление от 18 июля 2017:

Пост в Твиттере >>
Записка: !!!!!readme!!!!!.htm
Результаты анализов: VT
<< Скриншот записки







 Read to links: 
 Topic on BC
 ID Ramsomware
 *
 Thanks: 
 Michael Gillespie
 Malware Breakdown
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *