DotRansomware

DotRansomware

(шифровальщик-вымогатель, RaaS)

Этот крипто-конструктор распространяется по модели RaaS. Вымогатели на его основе шифруют данные пользователей с помощью AES, а затем требуют перейти на сайт оплаты, чтобы выполнить условия и вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: DotRansomware. Начало. 

Сайт поставщиков DotRansomware RaaS

К зашифрованным файлам по умолчанию добавляется расширение .locked, но может быть изменено по желанию злоумышленника, решившего создать с помощью крипто-конструктора свой вымогатель. 

Активность этого крипто-вымогателя пришлась на конец февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Руководство по использованию: 
DotRansomware Setup Guide
Attention!!!
We recommend you to build your ransomware inside virtual machine!
(But it is safe to use builder on your PC, just don't run builded exe file on your PC!)
Recommendation:
If you have got possibility to run ransomware on victim's computer with 
administrator privileges then do it. Because it will provide better conversion.
Recommended decryption price: 0.1
Recommended special decryption prices:
FR|0.15|FI|0.15|IE|0.15|IS|0.15|AU|0.15|BE|0.15|CA|0.15|AT|0.15|DK|0.15|SE|0.15|DE|0.15|NL|0.15|SA|0.2|US|0.2|HK|0.2|LU|0.2|CH|0.2|NO|0.2|AE|0.2|SG|0.2|KW|0.2|MO|0.2|QA|0.2
Recommended attacked extensions: ***
Recommendation:
You need to test builded exe file inside virtual machine, because operability can be broken after crypt/pack of core!
Links to website: ***

Перевод на русский язык:
Руководство по установке DotRansomware
Внимание!!!
Мы рекомендуем вам делать свой вымогатель внутри виртуальной машины!
(Но безопасно использовать строитель и на вашем ПК, только не запускайте сделанный исполняемый файл на вашем ПК!)
Рекомендация:
Если у вас есть возможность запускать вымогатель на ПК жертвы с правами администратора, то сделайте это. Т.к. это позволит лучшее преобразование.
Рекомендуемая цена дешифровки: 0.1
Рекомендуемые спеццены дешифровки:
FR|0.15|FI|0.15|IE|0.15|IS|0.15|AU|0.15|BE|0.15|CA|0.15|AT|0.15|DK|0.15|SE|0.15|DE|0.15|NL|0.15|SA|0.2|US|0.2|HK|0.2|LU|0.2|CH|0.2|NO|0.2|AE|0.2|SG|0.2|KW|0.2|MO|0.2|QA|0.2
Рекомендуемые целевые расширения: ***
Рекомендация:
Вам надо проверить сделанный исполняемый файл на виртуалке, т.к. работа нарушится после крипт/пака ядра!
Ссылки на веб-сайт: ***

Демонстрация работы

Скриншоты по-одному:
https://yadi.sk/d/1K0gV0zb3EcnLD

Распространяется с сайта поставщика RaaS, но потом может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После регистрации на сайте RaaS его клиенты получают два файла: builder.zip и core.exe
После распаковки zip-архива, нужно запустить builder.exe и задать свои параметры или использовать умолчательные. Крипто-строитель пропатчит core.exe и выдаст пользователю готовый крипто-вымогатель. 

 👐

В записке о выкупе поставщики предупреждают, чтобы клиенты готовый exe-шник на своем ПК не запускали, чтобы не стать жертвой вновь созданного крипто-вымогателя.

Список файловых расширений, подвергающихся шифрованию:
.001, .1dc, .3ds, .3fr, .7z, .a3s, .acb, .acbl, .accdb, .act, .ai, .ai3, .ai4, .ai5, .ai6, .ai7, .ai8, .aia, .aif, .aiff, .aip, .ait, .anim, .apk, .arch00, .ari, .art, .arw, .asc, .ase, .asef, .asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .bgeo, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .c, .c4d, .cap, .cas, .catpart, .catproduct, .cdr, .cef, .cer, .cfr, .cgm, .cha, .chr, .cld, .clx, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .cxx, .d3dbsp, .das, .dat, .dayzprofile, .dazip, .db, .db0, .dbf, .dbfv, .dcr, .dcs, .der, .desc, .dib, .dlc, .dle, .dlv, .dlv3, .dlv4, .dmp, .dng, .doc, .docm, .docx, .drf, .dvi, .dvr, .dwf, .dwg, .dxf, .dxg, .eip, .emf, .emz, .epf, .epk, .eps, .eps2, .eps3, .epsf, .epsp, .erf, .esm, .fbx, .ff, .fff, .fh10, .fh11, .fh7, .fh8, .fh9, .fig, .flt, .flv, .fmod, .forge, .fos, .fpk, .fsh, .ft8, .fxg, .gdb, .ge2, .geo, .gho, .gz, .h, .hip, .hipnc, .hkdb, .hkx, .hplg, .hpp, .hvpl, .hxx, .iam, .ibank, .icb, .icxs, .idea, .iff, .iiq, .indd, .ipt, .iros, .irs, .itdb, .itl, .itm, .iwd, .iwi, .j2k, .java, .jp2, .jpe, .jpeg, .jpf, .jpg, .jpx, .js, .k25, .kdb, .kdc, .kf, .kys, .layout, .lbf, .lex, .litemod, .lrf, .ltx, .lvl, .m, .m2, .m2t, .m2ts, .m3u, .m4a, .m4v, .ma, .map, .mat, .max, .mb, .mcfi, .mcfp, .mcgame, .mcmeta, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdl, .mdlp, .mef, .mel, .menu, .mkv, .mll, .mlx, .mn, .model, .mos, .mp, .mp4, .mpqge, .mrw, .mrwref, .mts, .mu, .mxf, .nb, .ncf, .nef, .nrw, .ntl, .obm, .ocdc, .odb, .odc, .odm, .odp, .ods, .odt, .omeg, .orf, .ott, .p12, .p7b, .p7c, .pak, .pct, .pcx, .pdd, .pdf, .pef, .pem, .pfx, .php, .php4, .php5, .pic, .picnc, .pkpass, .png, .ppd, .ppt, .pptm, .pptx, .prj, .prt, .prtl, .ps, .psb, .psd, .psf, .psid, .psk, .psq, .pst, .ptl, .ptx, .pwl, .pxn, .pxr, .py, .py, .qdf, .qic, .r3d, .raa, .raf, .rar, .raw, .rb, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rtg, .rvt, .rw2, .rwl, .rwz, .sav, .sb, .sbx, .sc2save, .sdf, .shp, .sid, .sidd, .sidn, .sie, .sis, .skl, .skp, .sldasm, .sldprt, .slm, .slx, .slxp, .snx, .soft, .sqlite, .sqlite3, .sr2, .srf, .srw, .step, .stl, .stp, .sum, .svg, .svgz, .swatch, .syncdb, .t12, .t13, .tar, .tax, .tex, .tga, .tif, .tiff, .tor, .txt, .unity3d, .uof, .uos, .upk, .vda, .vdf, .vfl, .vfs0, .vpk, .vpp_pc, .vst, .vtf, .w3x, .wallet, .wav, .wb2, .wdx, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xl, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xvc, .xvz, .xxx, .ycbcra, .yuv, .zdct, .zip, .ztmp (380 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
builder.zip
Builder.exe
core.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
dot2cgpiwzpmwtuh.onion.to
dot2cgpiwzpmwtuh.onion.nu
dot2cgpiwzpmwtuh.hiddenservice.net
dot2cgpiwzpmwtuh.onion.casa
dot2cgpiwzpmwtuh.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tw 
 ID Ransomware (n/a)
 Write-up
 *
 *

 Thanks: 
 Jiri Kropac
 David Montenegro
 GrujaRS
 Catalin Cimpanu 
 

© Amigo-A (Andrew Ivanov): All blog articles.

Unlock26

Unlock26 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует перейти на сайт оплаты, чтобы выполнить условия и вернуть файлы. Оригинальное название, указано также в начальной части адресов сайтов оплаты выкупа.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: DotRansomware >> Unlock26

К зашифрованным файлам добавляется расширение .locked-[3_random_chars], например, .locked-Q1u
Три случайных буквенно-цифровых символа на конце зашифрованных файлов уникальны для каждого ПК и ещё используются в записке о выкупе. 

Активность этого крипто-вымогателя пришлась на февраль 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, видимо, ещё в разработке. 

Записки с требованием выкупа называются: ReadMe-Q1u.html
Шаблон: ReadMe-[3_random_chars].html или ReadMe-[A-Za-z0-9]{3}.html

При каждом запуске exe-шника генерируются новые ключ и вектор. Они шифруются публичным RSA-ключом и записываются в ReadMe-[3_random_chars].html 

Записка о выкупе

Содержание записки о выкупе:
Your data was locked!
To unlock your data follow the instructions below
Go to one of this sites
unlock26ozqwoyfv.onion.to
unlock26ozqwoyfv.onion.nu
unlock26ozqwoyfv.onion.casa
unlock26ozqwoyfv.hiddenservice.net

Перевод записки на русский язык:
Твои данные блокированы!
Для разблока данных следуй инструкциям ниже
Иди на один из этих сайтов
unlock26ozqwoyfv.onion.to
unlock26ozqwoyfv.onion.nu
unlock26ozqwoyfv.onion.casa
unlock26ozqwoyfv.hiddenservice.net

 

 

Скриншоты с сайта вымогателей

Сайт показывает всё время одну цену в математическом представлении - 6.e-002 BTC (это 0,06 BTC). Но нам удалось найти еще и 1.e-002 BTC (это 0,01 BTC). 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe-Q1u.html
b1Z7gfdX0.exe
firefox.exe 

Расположения:

%TEMP%\ReadMe-Q1u.html

%TEMP%\b1Z7gfdX0.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
unlock26ozqwoyfv.onion
unlock26ozqwoyfv.hiddenservice.net
unlock26ozqwoyfv.onion.nu
unlock26ozqwoyfv.onion.to
unlock26ozqwoyfv.onion.casa
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Гибридный анализ на Builder RaaS >>
VirusTotal анализ на Builder RaaS >>

Обновление от 24 февраля 2017:
Криптостроитель Builder RaaS Unlock26
Файл: DotRansomwareBuilder.exe
Результаты анализов: см. выше. 
<< Скриншот





Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Unlock26)
 Write-up (add. February 25, 2017)
 Video review (add. February 27, 2017)

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Mihay Ice
 Catalin Cimpanu
 GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

Pickles

Pickles Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название, указано в коде. Написан на Python. Шифровальщик разработан для 64-разрядных систем, т.е. в 32-разрядных он, видимо, не сработает.  

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Имена зашифрованных файлов переименовываются случайными знаками, а уже к ним добавляется расширение .EnCrYpTeD
Шаблон можно записать как [random_chars].EnCrYpTeD или [a-z0-9].EnCrYpTeD

Примеры зашифрованных файлов

Образцы этого крипто-вымогателя нашлись в феврале 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Записки с требованием выкупа называются: READ_ME_TO_DECRYPT.txt

Содержание записки о выкупе:
Your files have been locked with AES strong encryption.
How to decrypt your files:
1. Send one bitcoin to: ABCDEFGHIJKLMNOPQRSTUVWXYZ123456789
2. After sending bitcoin, send email to random_anonymous@gmail.com containing the following code:
3614e3***
3. After receiving bitcoin and required code, you will be given your decrypt password
4. Find to_decrypt.py, double-click, enter the password. Decryption requires Python installed
You have 72 hours to comply, or your decrypt password will be permanently destroyed!
How to buy bitcoin: xxxxs://www.coinbase.com/buy-bitcoin?locale=en
GOOD LUCK!!

Перевод записки на русский язык:
Ваши файлы были заблокированы с AES шифрованием.
Чтобы дешифровать файлы:
1. Отправьте 1 Bitcoin на: ABCDEFGHIJKLMNOPQRSTUVWXYZ123456789
2. После отправки Bitcoin, отправьте сообщение на email random_anonymous@gmail.com со следующим кодом:
3614e3***
3. После получения Bitcoin и этого кода, вы получите ваш пароль дешифровки 
4. Найти to_decrypt.py, дважды щелкните, введите пароль. Дешифровка требует установки Python
У вас есть 72 часа для выполнения, или ваш пароль дешифровки будет уничтожен!
Чтобы купить Bitcoin: xxxxs://www.coinbase.com/buy-bitcoin?locale=en
УДАЧИ!!

Для дополнительного информирования жертвы используется скринлок, встающий обоями рабочего стола с коротким текстом: 
"Внимание! Ваши файлы зашифрованы!!! Следуйте инструкциям в READ_ME_TO_DECRYPT.txt для возврата ваших файлов". 

После релиза может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME_TO_DECRYPT.txt - записка о выкупе;
ransomware.exe - исполняемый файл вымогателя;
image.png - скринлок для обоев рабочего стола;
to_decrypt.py - файл для дешифровки файлов. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *

 Thanks: 
 JakubKroustek
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Vanguard

Vanguard Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью ChaCha20 и Poly1305, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название. Фальш-имя: MSOFFICE. Фальш-копирайт: Microsoft Corporation. Написан на языке Go (анг. Go language, Golang). Разработчик: Viktor. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение *нет данных*

Образцы этого крипто-вымогателя нашлись в феврале 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, видимо, в разработке. 

Записки с требованием выкупа называются: DECRYPT_INSTRUCTIONS.txt

Содержание записки о выкупе:
NOT YOUR LANGUAGE? https://translate.google.com
Your personal files and documents have been encrypted with AES-256 and RSA-2048!
Decrypting your files is only possible with decrypt key stored on our server. 
Price for key is %bitcoin% BTC (Bitcoin).
1. Send %bitcoin% BTC to %bitcoinaddress%
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
https://www.bitcoin.com/buy-bitcoin
2. Wait some time for transaction to process
3. PRIVATE KEY WILL BE DOWNLOADED AND SYSTEM WILL AUTOMATICALLY DECRYPT YOUR FILES!
If you do not pay within %hoursvalid% hours key will become DESTROYED and your files LOST forever!
Removing this software will make recovering files IMPOSSIBLE! Disable your antivirus for safety.

Перевод записки на русский язык:
НЕ ТВОЙ ЯЗЫК? https://translate.google.com
Твои личные файлы и документы были зашифрованы с AES-256 и RSA-2048!
Дешифровать файлы можно лишь с ключом дешифровки, хранящегося на нашем сервере.
Цена за ключ %Bitcoin% BTC (Bitcoin).
1. Отправь %Bitcoin% BTC на %bitcoinaddress%
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
https://www.bitcoin.com/buy-bitcoin
2. Подожди немного, пока транзакции обрабатываются 
3. Закрытый ключ загрузится и система автоматически дешифрует твои файлы!
Если ты не платишь за %hoursvalid% часа ключ УНИЧТОЖИТСЯ и твои файлы ПОТЕРЯНЫ навсегда!
Удаление этого софта сделает восстановление файлов НЕВОЗМОЖНЫМ! Отключите антивирус для безопасности.

Другое текстовое сообщение:
Please read DECRYPT_INSTRUCTIONS.txt for more information.

Перевод на русский:
Прочти DECRYPT_INSTRUCTIONS.txt для дополнительной информации.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Перед запуском шифрования проверяет наличие отладчиков и работу в виртуальной среде. Нерестит много процессов. Изменяет настройки прокси. 

После шифрования удаляет теневые копии файлов командой:
vssadmin.exe vssadmin delete shadows /all /quiet 

Список файловых расширений, подвергающихся шифрованию:

.123, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .602, .7z, .7zip, .aac, .ab4, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arc, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .bmp, .bpw, .brd, .bz2, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .cls, .cmd, .cmt, .com, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csr, .css, .csv, .dac, .dat, .db, .db3, .dbf, .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .encrypted, .eps, .erbsql, .erf, .exe, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .hbk, .hdd, .hpp, .htm, .html, .hwp, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .inf, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m2ts, .m3u, .m4a, .m4p, .m4u, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .ms11, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onenotec2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .paq, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qb, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qed, .r3d, .raf, .rar, .rat, .raw, .rb, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sh, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .torrent, .txt, .uop, .uot, .vb, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (416 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
vanguard.exe
msword.exe
del.bat
Cab1.tmp
Cab3.tmp
Tar2.tmp
Tar4.tmp

Расположения: 
%Temp%\msword.exe
%Temp%\del.bat
%Temp%\Cab1.tmp
%Temp%\Tar2.tmp
%Temp%\Cab3.tmp
%Temp%\Tar4.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***myexternalip.com (78.47.139.102)
***azxtr3foqyvpz3ob.onion.casa (167.160.185.136)
***secure2.alphassl.com (104.16.29.16)
***www.download.windowsupdate.com (92.122.122.144)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> HA-2 HA-3 HA-4
VirusTotal анализ >>  VT-2 VT-3 VT-4

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Article "ChaCha20 и Poly1305"
 *

 Thanks: 
 Jiri Kropac
 MalwareHunterTeam
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Нашли ошибку?

Нашли ошибку? Сообщите!

Программа помощи

При публикации материалов, а их здесь немало, уже больше 4-х сотен, возможны разные ошибки. 

Я сам регулярно их нахожу и исправляю. Но могу и не заметить из-за постоянной загруженности. 

Сообщите мне, если вы нашли ошибку, опечатку, непропечатку, неточность в тексте любой из статей.

Это просто. Ниже текста каждой статьи есть форма обратной связи. Сообщение придёт на мой email. 

Самым активным помощникам по итогам недели/месяца/квартала — перечисление на мобильный. 

Вместо телефона это может быть Qiwi- или Webmoney-кошелёк, карта или обсудим другой вариант. 

Условие — минимум 10 ошибок за указанный период. Наплыва помощников я не ожидаю, но опубликую здесь их список в виде рейтинга (ник, имя, аккаунт в Google, любую комбинацию), кроме неназвавшихся. Определение полезности оказанной помощи пока оставляю за собой. 

Мелкие ошибки, опечатки - по 1-2 балла за каждую. 
Исправление критической ошибки в статье — 10 баллов. 
Важная корректировка или важное дополнение - 20 баллов. 

По итогам работы за три месяца наиболее активные будут премированы годовой подпиской на антивирусную защиту:
  - Kaspersky Intenet Security
  - Norton Internet Security или Norton Security

Вы также можете помогать вне рейтинга. Просто так. Вклад для общего блага. Выбор за Вами. 

Первый тестовый период — 1 месяц со дня публикации. А там посмотрим, продолжать или нет. 

 Рейтинг самых активных помощников: 
 1. Mihay Ice - 300
 2. Тау Кита - 220
 3. Ohoho - 180
 4. Artur - 160
 5. Unknown - 80
6. 0x4574N4 - 60
7. Вячеслав Ильин - 20

© Amigo-A (Andrew Ivanov): All blog articles.

FindZip

FindZip Ransomware

(шифровальщик-вымогатель, zip-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей Mac OS, а затем требует выкуп в 0.25 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано. Написано на языке программирования Swift для MacOS. Другое название: Filecoder. 

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: FindZip.

К зашифрованным файлам добавляется расширение .crypt
Исследованный образец этого крипто-вымогателя относится на вторую половину февраля 2017 г. Известен с января 2017. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 

Записки с требованием выкупа разбрасываются по Рабочему столу и называется на всевозможный лад: 
DECRYPT!!.txt, DECRYPT!.txt, DECRYPT.txt, DECRYPT_!.txt, DECRYPT_.txt, DECRYPT__.txt
HOW_TO_DECRYPT!!.txt, HOW_TO_DECRYPT!.txt, HOW_TO_DECRYPT.txt, HOW_TO_DECRYPT_!.txt, HOW_TO_DECRYPT_.txt, HOW_TO_DECRYPT__.txt
README!!.txt, README!.txt, README-!.txt, README.txt, README_!.txt, README_.txt, README__.txt

Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption method.
What do I do ?
So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way
If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT
FOLLOW THESE STEPS:
1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
2) send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
3) send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com
4) leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes)
KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK
SINCE YOUR FILE GET CRYPTED,THEN THERE WON'T BE ANY METHOD TO RECOVER YOUR FILES, DON'T WASTE YOUR TIME!

Перевод записки на русский язык:
НЕ ВАШ ЯЗЫК? ИСПОЛЬЗУЙТЕ https://translate.google.com
Что случилось с вашими файлами?
Все ваши файлы были защищены сильным методом шифрования.
Что я делаю ?
Итак, вы можете выбрать два варианта: дождаться чуда или начать получать BITCOIN NOW! , и восстановить ВАШИ ДАННЫЕ простым способом
Если у вас действительно ценные DATA, вам лучше НЕ ОТПРАВИТЬ ВАШЕ ВРЕМЯ, потому что нет другого способа получить ваши файлы, кроме как сделать ОПЛАТУ
СЛЕДУЙ ЭТИМ ШАГАМ:
1) узнать, как купить биткоины https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
2) отправить 0.25 BTC в 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
3) отправьте свой адрес btc и ваш ip (вы можете получить свой IP-адрес здесь https://www.whatismyip.com) по почте rihofoj@mailinator.com
4) оставите свой компьютер и подключитесь к Интернету в течение следующих 24 часов после оплаты, ваши файлы будут разблокированы. (Если вы не можете ждать 24 часа, сделайте платеж в 0,45 BTC, ваши файлы будут разблокированы не более 10 минут)
ИМЕЙТЕ В ВИДУ, ЧТО ВАШ КЛЮЧ ДЕШИФРОВАНИЯ НЕ БУДЕТ ХРАНИТЬСЯ НА МОЕМ СЕРВЕРЕ БОЛЕЕ 1 НЕДЕЛИ
ПОСКОЛЬКУ ВАШ ФАЙЛ БУДЕТ ЗАШИФРОВАН, ТОГДА НЕ БУДЕТ НИКАКОГО СПОСОБА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ, НЕ ТРАТЬТЕ СВОЕ ВРЕМЯ!

Технические детали

Распространяется с помощью пиратских сайтов для взломанных программ, обманных загрузок, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Выдаёт себя за Adobe Premiere Pro CC 2017 Patcher или Microsoft Office 2016 Patcher для Mac OS, а также использует подписанные сертификаты.

➤ По словам специалистов программа написана с ошибками. И даже у  разработчиков-вымогателей нет возможности дешифровать зашифрованные файлы. Уплата выкупа бесполезна! 

➤ После того, как все файлы зашифрованы, пытается очистить все свободное пространство в корневом разделе с помощью diskutil, но путь к инструменту неверен. Он пытается выполнить /usr/bin/diskutil, однако путь к diskutil в MacOS - это /usr/sbin/diskutil 

➤ Шифровальщик преобразует зашифрованные файлы в ZIP-архивы, действуя по той же схеме, которую использует программа-вымогатель Bart Ransomware для Windows. 

➤ Zip-архивы защищены случайным паролем, который создается с помощью генератора случайных чисел arc4random_uniform. Ключ слишком длинный для грубой силы в разумные сроки.

Список файловых расширений, подвергающихся шифрованию:
Все файлы найденные с помощью инструмента командной строки в каталогах "Documents" и "Photos". 

Файлы, связанные с этим Ransomware:
DECRYPT!!.txt
DECRYPT!.txt
DECRYPT.txt
DECRYPT_!.txt
DECRYPT_.txt
DECRYPT__.txt
HOW_TO_DECRYPT!!.txt
HOW_TO_DECRYPT!.txt
HOW_TO_DECRYPT.txt
HOW_TO_DECRYPT_!.txt
HOW_TO_DECRYPT_.txt
HOW_TO_DECRYPT__.txt
README!!.txt
README!.txt
README-!.txt
README.txt
README_!.txt
README_.txt
README__.txt
Adobe Premiere Pro CC 2017 Patcher.zip
Office 2016 Patcher.zip

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rihofoj@mailinator.com
BTC: 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb - нулевой баланс
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

🔓 Ниже есть ссылка на средство дешифрования от компании Avast.
➤ При запуске средства дешифрования пользователям может быть предложено установить Mono или Gecko, а Avast отмечает, что они должны нажать «Отмена», если запрашивается Mono. После запуска приложения пользователи должны выбрать местоположение для расшифрованных файлов, а также пару исходных / зашифрованных файлов. На данный момент им нужно только подождать, пока инструмент найдет пароль для дешифрования, а затем запустит процесс восстановления. 

➤ Пользователям также рекомендуется сначала сделать копии зашифрованных файлов. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать FindZip Fix от Avast для дешифровки >>
Инструмент дешифрования был протестирован 
на MacOS 10.10 (Yosemite) и MacOS 10.12 (Sierra).

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as FindZip)
 Write-up, Write-up, Write-Up, Topic of Support
 Mass media, Mass media

 Thanks: 
 Michael Gillespie
 Sorry, unnamed authors
 ESET, Avast
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PyL33T

PyL33T Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название неизвестно. Шифровальщик разработан для 64-разрядных систем, т.е. в 32-разрядных он, видимо, не сработает. Фальш-копирайт: Copyright Microsoft. Написан на языке Python. 

© Генеалогия: другие Python Ransomware >> PyL33T Ransomware

К зашифрованным файлам добавляется расширение .d4nk

Образец этого крипто-вымогателя был найден в феврале 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока в разработке. 

Записки с требованием выкупа называются: ***

Содержание записки о выкупе:
ATTENTION
You Have Been Infected With Ransomware.
Please Make Note of Your Unique Idenfier: ***

Перевод записки на русский язык:
ВНИМАНИЕ
Вы заразились вымогателем.
Обратите внимание на Ваш уникальный идентификатор: ***

Технические детали

После релиза может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.7z, .css, .dba, .doc, .docm, .docx, .html, .JPEG, .jpg, .kbdx, .mov, .mp3, .mp4, .odb, .odc, .oma, .pdf, .php, .ppt, .pptx, .pub, .raw, .sql, .txt, .wallet, .xlxs (26 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии и пр.

Файлы, связанные с этим Ransomware:
Ransomware.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
178.62.166.7:1337 - C2-сервер
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё>> Ещё>>
Malwr анализ >>

Обновление от 6 марта 2017:
Пост в Твиттере >>
Файл: Runtime Broker.exe
Результаты анализов: VT


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PyL33T)
 Write-up
 *

 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private