CryptoSweetTooth

CryptoSweetTooth Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное, в переводе на русский "крипто-сладкоежка". В записке о выкупе написано как Crypto-SweetTooth. Фальш-имя: Bitcoin. Разработчик: Santiago. Краткое название: CryptoST. 

© Генеалогия: HiddenTear >> CryptoSweetTooth

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на испаноязычных и аргентинских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
IMPORTANTE_LEER.html
RECUPERAR_ARCHIVOS.html

Содержание записки о выкупе:
SUS ARCHIVOS PERSONALES HAN SIDO CIFRADOS POR Crypto-SweetTooth
Sus fotos, videos, documentos y base de datos han sido cifrados por un poderoso algoritmo utilizando una clave única generada por esta computadora.
¿Cómo recuperar los archivos?
Para recuperar sus archivos cifrados y recibir instrucciones de seguridad para que esto no le vuelva a ocurrir, usted deberá realizar un pago de 0.5BTC y enviarlos a la siguiente dirección: ILLEoST***
Una vez realizado el pago usted deberá enviar un correo electrónico a con la dirección bitcoin que usted uso para enviar los fondos. Una vez verificado y confirmado se le responderá con el programa y contraseña para desencriptar los archivos.
¿Cómo comprar Bitcoins?
Si usted se encuentra en Argentina podrá comprar Bitcoins en las siguientes empresas:
• Ripio.com
• Satoshitango
• ArgenBTC
• saldo.com.ar
• mercadolibre.com.ar
luego de haber realizado la compra desde cualquiera de las paginas mencionadas arriba, debera mandar los mismos a la direccion Bitcoin especificada al principio, marcada en color ROJO.

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы с помощью Crypto-SweetTooth
Фото, видео, документы и базы данных были зашифрованы с помощью мощного алгоритма с помощью уникального ключа, сгенерированного этим компьютером.
Как восстановить файлы?
Чтобы восстановить ваши зашифрованные файлы и получить инструкции по безопасности чтобы этого не повторилось, вы должны произвести оплату 0.5 BTC и отправить их по следующему адресу: ILLEoST***
После оплаты вы должны отправить нам по email адрес, который вы использовали для отправки Bitcoin-средств. После проверки и подтверждения оплаты, мы ответим с программой и паролем для расшифровки файлов.
Как купить Bitcoins?
Если вы находитесь в Аргентине вы можете купить Bitcoins в следующих компаниях:
• Ripio.com
• Satoshitango
• ArgenBTC
• saldo.com.ar
• mercadolibre.com.ar
После того, как сделали покупку на любой из страниц выше, следует отправить их на Bitcoin-адрес, указанный в начале, отмеченный красным цветом.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для работы шифровальщика требуется наличие в системе .NET Framework 4.5.2. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
Bitcoin.exe
bitcoin_factory_v1.0.2.exe
CryptoSweetTooth.exe
\Desktop\IMPORTANTE_LEER.html
\Desktop\IMPORTANTE_LEER2.html
\Desktop\IMPORTANTE_LEER3.html

\Desktop\IMPORTANTE_LEER4.html
\Documents\RECUPERAR_ARCHIVOS.html
\Pictures\RECUPERAR_ARCHIVOS.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***healty-site.000webhostapp.com/getinfo.php (153.92.11.86:80 - Германия)
cryptosweettooth@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kaandsona

Kaandsona Ransomware

RansomTroll Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название оригинальное, другие: Käändsõna и RansomTroll. Слово "Käändsõna" эстонского происхождения, потому, скорее всего, разработчик тоже из Эстонии. 

Обнаружения: 
DrWeb -> Trojan.Encoder.10125
BitDefender -> Trojan.Ransom.BIC
ALYac -> Trojan.Ransom.Kaandsona
Symantec -> Trojan.FakeAV
ESET-NOD32 -> MSIL/Filecoder.Kaandsona.A

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .kencf

Образец этого крипто-вымогателя был найден в январе 2017 г., но по всей видимости разработка началась еще в 2016 году. Шифрование сопровождается сбоями в работе, работа ещё не отлажена. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: нет данных.

Содержание записки о выкупе:
You have been struck by the holy Kaandsona ransomware
Either you pay 1 BTC in 24 hours or you lose ALL FILES
 button 'Show all encrypted files'
 button 'PAY'

Перевод записки на русский язык:
Вы были поражены святым Kaandsona вымогателем
Или вы платите 1 BTC за 24 часа или вы потеряете ВСЕ ФАЙЛЫ
 кнопка 'Show all encrypted files'
 кнопка 'PAY'

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Kaandsona.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***143.22.211.245/victim.php?ts=  (143.22.211.245:80 - США)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware 
 Write-up

 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LambdaLocker

LambdaLocker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA и SHA-256, а затем требует выкуп в 0,5-1 биткоин, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: LambdaLocker. Начало

К зашифрованным файлам добавляется расширение .lambda_l0cked

Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных и китайских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: READ_IT.hTmL
Написаны на английском и китайском языках. 

Содержание записки о выкупе:
!!!WARNING!!!
Your files are encrypted by the LambdaLocker.
Your ID: 4530-1xxx-2xxx-5xxx
We used AES-256 and SHA-256 cipher to encrypt. So DO NOT try to crack your files.
The way to DECRYPT:
Step1: pay 0.5 Bitcoin to 1MJod*** (Case Sensitive, Please copy this address) in 1 month.
Step2: send an E-MAIL to lambdasquad.hl@yandex.com after you finish step 1
Format:
Subject: decryptLL
Body: [Your ID]P05 (Example:[1234-1234-1234]P05)
Step3: Please wait. We will send the decrypter and the key to you in 3 hours.
How to get Bitcoins and pay?
  1. Register a Bitcoin Trade Platform.
  2. Buy Bitcoins through the platform.
  3. Pay 0.5 Bitcoins to 1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2 and follow the decrypt step.
  If you can't understand, please Google: How can I buy and pay bitcoin?
Bitcoin Trade Platform recommend:
 1. HuoBi (火币,China): https://www.huobi.com/
 2. BtcTrade (China): http://www.btctrade.com
 3. OKCoin: https://www.okcoin.cn/
 4. Bter: https://bter.com/
 5. JuBi (聚币,China): http://www.jubi.com/
 6. Btc100 (China): https://www.btc100.cn/
 7. BTC-e: https://btc-e.com/
 8. Bitstamp: https://www.bitstamp.net/
 9. GDAX: https://www.gdax.com/
 10. CEX: https://cex.io/
 Or you can use others.
If you have any questions, please e-mail lambdasquad.hl@yandex.com.


!!!警告!!!
您的所有文件已经被LambdaLocker加密.
您的ID : 4530-1099-2139-5329
我们使用了AES-256和SHA-256加密,请不要试图破解.
解锁方式:
第一步:在一个月内支付0.5比特币到地址 1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2 (区分大小写,请完整地复制)
第二步:完成第一步之后,发送邮件到 lambdasquad.hl@yandex.com
格式:
邮件标题:decryptLL
邮件内容:[您的ID]P05 (举例:[1234-1234-1234]P05)
第三步:请等待.我们会把秘钥和解锁程序在3小时内发送给您.
如何得到比特币并支付?
  1.注册一个比特币交易平台.
  2.通过平台购买比特币.
  3.通过平台支付0.5比特币到1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2并继续解锁步骤.
  如果还有疑问请上网搜索:如何购买并支付比特币
比特币交易平台推荐:
1.YunBi(云币,China):https://yunbi.com/
 2.BtcTrade(China):http://www.btctrade.com
 3.OKCoin:https://www.okcoin.cn/
 4.Bter:https://bter.com/
 5.JuBi(聚币,China):http://www.jubi.com/
 6.Btc100(China):https://www.btc100.cn/
 7.BTC-e:https://btc-e.com/
 8.Bitstamp:https://www.bitstamp.net/
 9.GDAX:https://www.gdax.com/
 10.CEX:https://cex.io/
或者您也可以使用其他的.
如果您有任何疑问,请发送邮件至lambdasquad.hl@yandex.com

Перевод записки на русский язык:
!!!ПРЕДУПРЕЖДЕНИЕ!!!
Ваши файлы зашифрованы с помощью LambdaLocker.
Ваш ID: 4530-1xxx-2xxx-5xxx
Мы использовали AES-256 и SHA-256 шифры для шифрования. Потому не пытайтесь взломать ваши файлы.
Путь к дешифровке:
Шаг 1: платить 0,5 Bitcoin на 1MJod *** (чувствительно к регистру, скопируйте этот адрес) в течение 1 месяца.
Шаг2: отправить email на lambdasquad.hl@yandex.com после 1-го шага
Формат:
Тема: decryptLL
Тело: [Ваш ID]P05 (Пример: [1234-1234-1234]P05)
Шаг 3: Подождите. Мы пришлем декриптер и ключ вам за 3 часа.
Как получить биткоины и заплатить?
  1. Зарегистрироваться в Bitcoin Trade Platform.
  2. Купить биткоины через платформу.
  3. Оплатить 0,5 биткоина на 1MJodDvhmNG9ocRhhwvBzkGmttXP9ow7e2 и далее шаг дешифрования.
  Если вы не можете понять, пожалуйста гуглите: How can I buy and pay bitcoin?
Bitcoin Trade Platform рекомендует:
 1. HuoBi (火 币, Китай): https://www.huobi.com/
 2. BtcTrade (Китай): http://www.btctrade.com
 3. OKCoin: https://www.okcoin.cn/
 4. Bter: https://bter.com/
 5. JUBI (聚 币, Китай): http://www.jubi.com/
 6. Btc100 (Китай): https://www.btc100.cn/
 7. BTC-е: https://btc-e.com/
 8. Bitstamp: https://www.bitstamp.net/
 9. GDAX: https://www.gdax.com/
 10. CEX: https://cex.io/
 Или вы можете использовать другие.
Если у вас есть любые вопросы, пожалуйста, пишите на email lambdasquad.hl@yandex.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Запустившись вредонос завершают работу следующих служб:
MariaDB
MSSQL
MSSQL56
MSSQLServer
OracleServiceORCL

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .accdb, .backup, .cd, .cdr, .dbf, .doc, .docx, .dwg, .jpeg, .jpg, .mdb, .odt, .pdf, .psd, .rar, .rtf, .sqlite, .tiff, .xls, .xlsx, .zip (23 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

При шифровании пропускаются файлы, находящиеся в директориях: 
ProgramFiles
Windows

Файлы, связанные с этим Ransomware:
READ_IT.hTmL
LambdaLocker.exe
baiduyunSimple.exe

Расположения: 
%SystemDrive%\READ_IT.hTmL
%SystemDrive%\lf.lst
%SystemDrive%\!A_NOTICE_FROM_LAST
%SystemDrive%\lalove.inf0
[PATH TO MALWARE]\#Cyb3rGh0st_S0c13tyF@ck3r

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
lambdasquad.hl@yandex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >>  Ещё >>
Symantec: Ransom.LambdaLocker >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 5 апреля 2017:
Версия: LambdaLocker Python
Сумма выкупа: 1 BTC
Файлы: kukuvruku.exe, reloader.exe
Расширение: .lambda_l0cked
Целевые файлы: .gif, .htm, .html, .pdf, .txt и другие.  
Останавливает процессы: mysql, MySQL56, mssqlserver, OracleServiceORCL, MongoDB, MariaDB, postgresql
Завершает задачи процессов: mysql.exe, IM oracle.exe, sqlserver.exe, IM Apache.exe
Результаты анализов: HA+VT
Новый видеоролик >>

Обновление от 7 апреля 2017:
Результаты анализов: HA+VT

Обновление от 27 июля 2017: 
Пост в Твиттере >>
Записка: !UNLOCK_guiDE.tXT и ярлык UNLOCK_guiDE
Расширение: .MyChemicalRomance4EVER
Файл: VortexVPN.exe
Результаты анализов: VT
Скриншот записки и Список расширений: 

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать LambdaLocker Fix для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LambdaLocker)
 Tweet on Twitter + Write-up + Video review

 Thanks: 
 Michael Gillespie
 Symantec
 Chris Doman
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

NMoreira 2.0

NMoreira 2.0 Ransomware

HakunaMatata Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует связаться с вымогателями посредством системы Bitmessage, чтобы вернуть файлы. Первоначально получил название HakunaMatata от добавляемого расширения, но потом оказалось, что это новая версия NMoreira. Одно другому не мешает. 

© Генеалогия: NMoreia > NMoreira 2.0 > R (NM3) > NM4

К зашифрованным файлам добавляются расширения 
.HakunaMatata

Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
Recovers files yako.html

Содержание записки о выкупе:
Encrypted files!
All your files are encrypted.Using AES256-bit encryption and RSA-2048-bit encryption.
Making it impossible to recover files without the correct private key.
If you are interested in getting is the key and recover your files
You should proceed with the following steps.
-
To get in touch you should use the Bitmessage system,
You can download the Bitmessage software at https://bitmessage.org/
After installation you should send a message to the address
Bitmsg: BM-2cWcp***

If you prefer you can send your Bitmenssages from a web browser
Through the webpage https://bitmsg.me this is certainly the most practical method!
Below is a tutorial on how to send bitmessage via web browser: https://bitmsg.me/

1 B° Open in your browser the link
https://bitmsg.me/users/sign_up
Make the registration by entering name email and password.
2 B° You must confirm the registration, return to your email and follow the instructions that were sent.
3 B° Return to site sign in
https://bitmsg.me/users/sign_in
4 B° Click the Create Random address button.
5 B° Click the New massage button
6 B° Sending message

To: Enter address: BM-2cWcp***
Subject: Enter your key: afe299***
Menssage: Describe what you think necessary
Click the Send message button.
Your message will be received and answered as soon as possible!.
Send message to: BM-2cWcp***
 Your Key: afe299***

Перевод записки на русский язык:
Файлы зашифрованы!
Все ваши файлы зашифрованы. Использованы AES256-бит шифрование и RSA-2048-бит шифрование.
Это делает невозможным восстановление файлов без правильного секретного ключа.
Если вы заинтересованы в получении ключа и восстановлении файлов
Вы должны сделать следующие шаги.
-
Для контакта вы должны использовать систему Bitmessage,
Вы можете загрузить программу Bitmessage на xxxxs://bitmessage.org/
После установки вы должны отправить сообщение по адресу
Bitmsg: BM-2cWcp ***

При желании вы можете отправить битмессагу из веб-браузера
Через веб-страницу xxxxs://bitmsg.me это самый практичный метод!
Ниже есть учебник о том, как отправить битмессагу через веб-браузер: xxxxs://bitmsg.me/

1) Открыть в браузере по ссылке
xxxxs://bitmsg.me/users/sign_up
Сделать регистрацию, введя email и пароль.
2) Вы должны подтвердить регистрацию, вернуться к вашему email и следовать пришедшим инструкциям.
3) Вернуться к регистрации сайта в
xxxxs://bitmsg.me/users/sign_in
4) Нажать кнопку "Create Random address".
5) Нажать кнопку "New massage"
6) Отправить сообщениt

Кому: Ввести адрес: BM-2cWcp***
Тема: Ввести ключ: afe299***
Menssage: Написать, что вы считаете нужным
Нажать кнопку Send message.
Ваше сообщение будет получено и ответ будет как можно скорее!
Отправить сообщение для: BM-2cWcp ***
Ваш ключ: afe299 ***

Текст-обращение в коде:
"Hi debugger dude, asm is very cool to understand is not it? I used to crack lots of softwares with Ollydbg but lately I don't have time to do it. Good disassembling man or woman lol. Fwosar you are the man, I am inspired by dudes who understand what they do. Your bruteforcing tool was amazing, I am really impressed :). I was so stupid to use SHA1, the limited set of characters for the AES password and not setting up the IV correctly... Lesson to be learned: This polite idiot here really needs to stop using the predicable and insecure srand, RTLGenRandom all the way stupid me. This still idiot person hope you can break this too, I'm not being sarcastic, you're really inspiring. Hugs, NMoreira Core Dev. Btw, can anyone in this world guess what NMoreira really means?" (Indicator: "ollydbg")

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Проверяет наличие известных отладчиков и инструментов анализа. 
Создаёт множество процессов, чтобы скрыть свою деятельность. 
Удаляет теневые копии файлов с помощью команд:
cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
vssadmin.exe Delete Shadows /All /Quiet

Завершает работу процессов: 
fb_inet_server.exe
pg_ctl.exe
sqlservr.exe

Завершает работу и отключает запуск на старте системы следующих служб: 
MSExchangeAB, MSExchangeAntispamUpdate, MSExchangeEdgeSync, MSExchangeFDS, MSExchangeFBA, MSExchangeImap4, MSExchangeIS, MSExchangeMailSubmission, MSExchangeMailboxAssistants, MSExchangeMailboxReplication, MSExchangeMonitoring, MSExchangePop3, MSExchangeProtectedServiceHost, MSExchangeRepl, MSExchangeRPC, MSExchangeSearch, wsbexchange, MSExchangeServiceHost, MSExchangeSA, MSExchangeThrottling, MSExchangeTransport, MSExchangeTransportLogSearc, MSExchangeADTopology...
BACKP, Exchange, Firebird, FirebirdServerDefaultInstance
MSSQL, MSSQL$SQLEXPRESS, MSSQLSERVER
SBS, SQL, SharePoint
post, postgresql, postgresql-9.0, tomcat, wsbex, wsbexchange

Используя wevtutil вредонос очищает следующие журналы: 
Setup
System
Security
Application

Список файловых расширений, подвергающихся шифрованию:
Это точно расширения .bmp, .cab, .doc, .jpg, .mp3, .pdf, .png, .xml ...

Скорее всего, целями являются документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Из шифрования исключаются следующие расширения: 
.bat, .dll, .exe, .ini, .lnk, .msi, .scf

Из шифрования исключаются папки, которые содержат следующие строки: 
AVAST Software
AVG
AVIRA
Atheros
CONFIG.SYS
ESET
HakunaMatata
IO.SYS
MSDOS.SYS
NTDETECT.COM
Realtek
Recovers files yako.html
Recovers your files.html
TeamViewer
Chrome
Firefox
Opera
Windows
boot
bootmgr
java
ntldr

Файлы, связанные с этим Ransomware:
Recovers files yako.html
<random>.exe
<random>.tmp
crypter_191_.exe
net1.exe
wevtutil.exe

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Timon and Pumbaa" = "<threat_name> supermetroidrules"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://gcc.gnu.org/bugs.html
BM-2cWcpA29bwGPNsyLXLDpYpxbzGsXlIvheYZ
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Team XRat Ransomware - август 2016 
NMoreira Ransomware - ноябрь 2016
NMoreira 2.0 Ransomware - январь 2017
R (NMoreira3) Ransomware - март 2017
NM4 (NMoreira4) Ransomware - апрель 2017

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as NMoreira 2.0)
 Write-up (n/a)

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Jakub Kroustek, GrujaRS
 Alex Svirid, Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Marlboro

Marlboro Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей якобы с помощью RSA-2048 и AES-128 (на самом деле всего лишь XOR), а затем требует выкуп в 0,2 биткоина, чтобы получить декриптер и вернуть файлы. Название оригинальное, другое: DeMarlboro. Написан на C++. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .oops

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Зафиксированы пострадавшие из следующих стран: Сербия, Хорватия, Чехия и Малайзия. 

Записки с требованием выкупа называются: _HELP_Recover_Files_.html

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about RSA and AES can be found here:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encnption_Standard
Decrypting of your files is only possible with private key and decrypt program, which is on our secret server.
To receive your private key you need to make payment to us.
After you make payment, run program called 'DecryptFiles' that is located on your Desktop and your Documents.
Program will automatically decrypt all of your files!
If you try to decrypt files with another software your files can be forever lost.
How to buy decrypter?
1. You can make a payment with BitCoins, there are many methods to get them.
Bitcoin
2. You should register BitCoin wallet (simplest online wallet OR some other methods of creating wallet).
3. Purchasing Bitcoins - Although it is not yet easy to buy bitcoms, it is getting simpler every day.
Here are our recommendations
• Localbitcoms.com (WU) - Buy Bitcoins with Western Union
• Coincafe.com - Recommended for fast, simple service.
• Localbitcoms.com - Service allows you to search for people in your community willing to sell bitcoins to you directly. 
• CEX.IO - Buy Bitcoins with VISA MASTERCARD or Wire Transfer
• btcdirect.eu - THE BEST FOR EUROPE
4. Send - 0.2 BTC to Bitcoin address: *****
5. After you make payment, run program called ’DecryptFiles' that is located on your Desktop and your Documents. 
Program will automatically decrypt all of your files!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!
Все ваши файлы зашифрованы с шифрами RSA-2048 и AES-128.
Более подробную информацию о RSA и AES можно найти здесь:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encnption_Standard
Дешифрование файлов возможно только с закрытым ключом и декриптером, который находится на нашем секретном сервере.
Чтобы получить секретный ключ вам нужно заплатить нам.
После того, как вы сделаете оплату, запустите программу под названием "DecryptFiles", находящуюся на вашем рабочем столе и в ваших документах.
Программа будет автоматически расшифровывать все ваши файлы!
Если попытаться расшифровать файлы с другой программой, то ваши файлы могут быть навсегда потеряны.
Как купить Decrypter?
1. Вы можете произвести оплату в Bitcoins, есть много методов, чтобы получить их. 
Bitcoin
2. Вы должны зарегистрировать Bitcoin-кошелек (простейший интернет-кошелек или некоторые другие методы создания кошелька).
3. Покупка Bitcoins - Несмотря на то, что еще непросто купить bitcoins, она становится проще с каждым днем.
Вот наши рекомендации
• Localbitcoms.com (WU) - Купить Bitcoms с Western Union
• Coincafe.com - Рекомендуется для быстрого и простого обслуживания.
• Localbitcoms.com - Сервис позволяет искать людей в вашем сообществе, готовых продать Bitcoins напрямую вам.
• CEX.IO - Купить Bitcoins с VISA MASTERCARD или банковским переводом
• btcdirect.eu - ЛУЧШИЙ ДЛЯ ЕВРОПЫ
4. Передать - 0,2 BTC на Bitcoin адрес: *****
5. После сделанной оплаты запустите программу под названием "DecryptFiles", находящуюся на вашем рабочем столе и в ваших документах.
Программа будет автоматически расшифровывать все ваши файлы!

Как можно заметить нет контакта для связи, ни email, ни какого-то другого. Уплата выкупа бессмысленна! 

Декриптер, выданный вымогателями, предлагает пострадавшим пройти проверку на предмет "человек ли вы?", прежде чем проверять, оплатили они или нет. Затем уже проверяет состояние оплаты. 

Текст с этого экрана:
WE PRESENT YOU A SPECIAL SOFTWARE - DOCUMENTS DECRYPTER -
Which allows to recover and return control to all your encrypted files
Just retype this number to verify you are human: -> 13186 <- 13186
[+] Please wait connecting to server...
[-] We are unable to verify your payment...
-> If you already paid, please try again in half an hour

Перевод на русский:
Мы представляем вам специальный софт - Декриптер документов -
Он позволит вернуть доступ ко всем вашим зашифрованным файлам
Пропечатайте эти цифры для проверки, что вы человек: -> 13186 <- 13186
[+] Пожалуйста, ждите, подключение к серверу ...
[-] Мы не можем подтвердить платеж ...
-> Если вы уже оплатили, то попробуйте еще раз через полчаса

Цифры на разных ПК различаются. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Во вложении используется документ DOCM с вредоносными макросами, производящими загрузку шифровальщика. 

После шифрования удаляются теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:

.aes, .ARC, .asc, .asf, .asm, .asp, .aspx, .avi, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .csr, .CSV, .dat, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mpeg, .mpg, .ms11, .MYD, .MYI, .NEF, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .PAQ, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .RTF, .sch, .sldm, .sldx, .slk, .sql, .SQLITE3, .SQLITEDB, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip, (140 расширений без дублей). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии и другие изображения, музыка, видео, файлы образов, общие файлы и пр.

Файлы, связанные с этим Ransomware:
_HELP_Recover_Files_.html
maxi.docm
maxi.docm.doc
maxi.docm.lnk
DecryptFiles.exe
<random>.exe
<random>.tmp
u00000.wicked.exe
IpOverUsbSvc.exe
и другие. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***tsoft.16mb.com (31.220.104.93:80 - Литва)
***mhustler2018.000webhostapp.com (153.92.15.10:80 - Германия)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>  Ещё >> Ещё >>
VirusTotal анализ >>  Ещё >> Ещё >> Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание! 
Для зашифрованных файлов есть декриптер. 
Инструкция по дешифровке для Marlboro >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Marlboro)
 Video review
 *

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 GrujaRS
 Fabian Wosar
 

© Amigo-A (Andrew Ivanov): All blog articles.