Если вы не видите здесь изображений, то используйте VPN.

понедельник, 12 июня 2017 г.

GPAA

GPAA Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 10.91 BTC, чтобы вернуть файлы. Оригинальное название. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

 © Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .cerber6
Сами файлы переименовываются. 

 Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: !READ.htm

 Содержание записки о выкупе:
Congradulations! Now you are a member of GPAA (Global Poverty Aid Agency).
We need bitcoins, our crowdfunding goal is to get 1000 BTCs. 1 BTC for 1 CHILD!
>> Click Here To Buy Bitcoins <<
Q: What happened?
A: Ooops, your inportant files are encrypted. lt weans you will not be able to access them anyeore until they are decrypted.
These files could NOT be decrypted if you do not have the KEY (RSA4096).

 Q: How can I get the decrypt programme?
A: Your task is 10.91 btc.
Send the correct amount to the bitcoin address  19ZLfCEpxdskvWGLLhNUnM6dUG7yikhz2W
You can send more coins. When the goal is achieved, you will get the decrypt programme.

 Q: Where to get the decrypt programme?
A: When the goal is achieved, we will send it to sc19ZLfCEpxdskvWGLLhNUnM6dUG7yikhz2W@outlook.com
(You may register it first with the specified password: Save1000Children!!! ).

 Перевод записки на русский язык:
Поздравления! Теперь вы являетесь членом GPAA (Глобальное агентство по борьбе с бедностью).
Нам нужны биткоины, наша главная задача - получить 1000 BTC. 1 BTC для 1 ребенка!
>> Нажмите здесь, чтобы купить биткоины <<
В: Что случилось?
A: Упс, ваши важные файлы зашифрованы. Это означает, что вы не сможете получить доступ к ним больше, пока они не будут расшифрованы.
Эти файлы НЕ МОГУТ быть расшифрованы, если у вас нет ключа (RSA4096).

 В: Как я могу получить программу расшифровки?
A: Ваша задача 10.91 биткоинов.
Отправьте правильную сумму на биткоин-адрес 19ZLfCEpxdskvWGLLhNUnM6dUG7yikhz2W
Вы можете отправить больше монет. Когда цель будет достигнута, вы получите программу расшифровки. 

 В: Где получить программу расшифровки?
A: Когда цель будет достигнута, мы отправим ее в sc19ZLfCEpxdskvWGLLhNUnM6dUG7yikhz2W@outlook.com
(Вы можете сначала зарегистрировать его с указанным паролем: Save1000Children !!!).

 Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3dmap, .3ds, .3dxml, .3g2, .3gp, .602, .7z, .accdb, .act, .aes, .ai, .arc, .asc, .asf, .asm, .asp, .assets, .avi, .backup, .bak, .bat, .bdf, .blendl, .bmp, .brd, .bz2, .c, .c4dl, .catalog, .catanalysis, .catdrawing, .catfct, .catmaterial, .catpart, .catprocess, .catproduct, .catresource, .catshape, .catswl, .catsystem, .cdd, .cgm, .class, .cmd, .config, .cpp, .crt, .cs, .csr, .csv, .dae, .db, .dbf, .dch, .deb, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .edb, .eml, .fbx, .fla, .flv, .frm, .gif, .gl, .gl2, .gpg, .gz, .h, .hpgl, .hwp, .ibd, .icem, .idf, .ig2, .igs, .ipt, .iso, .jar, .jasl, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .library, .m3u, .m4u, .mal, .max, .maxl, .mb, .mdb, .mdf, .mid, .mkv, .mml, .model, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .obj, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .session, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .step, .sti, .stp, .stw (180 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, файлы прикладных программ и пр.

Файлы, связанные с этим Ransomware:
!READ.htm
<random>.exe

 Расположения:
***

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: sc19ZLfCEpxdskvWGLLhNUnM6dUG7yikhz2W@outlook.com
BTC: 19ZLfCEpxdskvWGLLhNUnM6dUG7yikhz2W
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются регулярно. 


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GPAA)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 BleepingComputer
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на

RabboLock

R4bb0l0ck Ransomware

RabboLock Dutch Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует необычный выкуп, чтобы вернуть файлы. В записке о выкупе указано другое название: RabboLock
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

 © Генеалогия: HiddenTear >> R4bb0l0ck

 К зашифрованным файлам добавляется расширение .R4bb0l0ck

 Этимология названия:
Ранее выпускался другой RabboLock, который был дубликатом одной из новых версий (или вариантов) Jigsaw. У меня в блоге он не описывался. 

Вопрос о тождестве R4bb0l0ck и RabboLock остаётся открытым. Слишком редкое название с большей долей вероятности могло использоваться одним и тем же вымогателем для своих разных проектов. Но теоретически могло быть заимствовано другими. 

 Активность этого крипто-вымогателя пришлась на середину июня 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: LEES_MIJ.txt

 Содержание записки о выкупе:
Bestanden zijn encrypted met RabboLock.
Stuur me een email (naar: 7xeqjs+1scf2q9c551an4gpw@guerrillamail.com) en voldoe aan deze voorwaarden:
Ik wil staf privileges op het account dat ik zal doorgeven
bovendien wil ik 5000 kronen en 5000 diamanten op hetzelfde account + 5000 rares naar keuze verdeeld over andere accounts 
Veel succes
PS: contacteer me binnen het uur anders is het te laat!

 Перевод записки на русский язык:
Файлы зашифрованы с RabboLock.
Пришли мне по email (на: 7xeqjs+1scf2q9c551an4gpw@guerrillamail.com) и выполни эти условия:
Я хочу личные привилегии на аккаунте, что мне будет передан
Также я хочу 5000 крон и 5000 бриллиантов на тот же счет + 5000 мелочью или перевести на другие счета.
Удачи
PS: свяжись со мной в течение часа, иначе будет слишком поздно!

 Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений (PDF.exe), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LEES_MIJ.txt
WindowsOverride.txt
hidden-tear.exe
<random>.exe

 Расположения:
\Desktop\LEES_MIJ.txt

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
7xeqjs+1scf2q9c551an4gpw@guerrillamail.com
athe.vdb@mail.com
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются регулярно. 


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 *
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.
Автор: на

Facebook HT

Facebook HT Ransomware

(шифровальщик-вымогатель) 

Translation into English


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Facebook и Facebook Official. Добавление HT от меня, чтобы сразу было видно родство с HiddenTear.

Это не имеет никакого отношения к социальной сети Facebook!!! 

© Генеалогия: HiddenTear >> Facebook HT Ransomware

 К зашифрованным файлам добавляется расширение .Facebook 

 Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 В мае 2018 года был вымогатель, который также использовал название Facebook. Я назвал тогда FBLocker Ransomware.

 Запиской с требованием выкупа выступает экран блокировки:


Содержание текста о выкупе:
oops Your files are encrypted.
Please click the button that says "How to decrypt my files"
191RK3m897XbQqX7rSieYNqNFmJLorKpuP
button [How to Decrypt your files.]
button [Give me back my files!]

 Перевод текста на русский язык:
Упс Ваши файлы зашифрованы.
Нажмите кнопку с надписью "How to decrypt my files"
191RK3m897XbQqX7rSieYNqNFmJLorKpuP
кнопка [How to decrypt my files.]
кнопка [Верните мои файлы!]

 Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Facebook.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
BTC: 191RK3m897XbQqX7rSieYNqNFmJLorKpuP
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Обновление от 30 ноября 2018:
Пост в Твиттере >>
Текстовой записка с требованием выкупа нет. Вместо него появляется сообщение с суммой выкупа. 

Содержание текста о выкупе:
You need to 0.29 bitcoins to the address above. Once done and sent, Press, Give me my files back
Information

Перевод текста на русский язык:
Вам нужно 0.29 биткойна по адресу выше. После этого и отправки, жмите, Верните мне мои файлы
Информация

 Информатором жертвы также является экран блокировки.

Содержание текста на экране:
oops Your files are encrypted.
Please click the button that says "How to decrypt my files"
[191RK3m897XbQqX7rSieYNqNFmJLorKpuP]
[How to Decrypt your files.]
[Give me back my files!]

Перевод текста с экрана: 
упс Ваши файлы зашифрованы.
Нажмите кнопку с надписью "Как расшифровать мои файлы"
[191RK3m897XbQqX7rSieYNqNFmJLorKpuP]
[Как расшифровать ваши файлы.]
[Верните мне мои файлы!]

 Результаты анализов: VT

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn, MalwareHunterTeam
 Andrew Ivanov (article author)
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на

суббота, 10 июня 2017 г.

BOK RaaS

BOK Ransomware

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BOK. В тексте на сайте называется как CryptoLocker.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

 © Генеалогия: выясняется.

К зашифрованным файлам добавляется настраиваемое расширение.

Появление этого крипто-вымогателя пришлось на первую половину июня 2017 г. Ориентирован на англоязычных и русскоязычных пользователей, что не мешает распространять его по всему миру.

 Запиской с требованием выкупа выступает экран блокировки или скринлок, встающий обоями рабочего стола. 

 Содержание текста о выкупе:
!!! IMPORTANT INFORMATION!!!!
BOK Ransomware
All of your files are encrypted RSA-2048 AES-128 ciphers.
More information about the RSA AES can be found here:
http://en.wikipedia.org/wiki/RSA (cryptosystem)
http://en.wikipedia.org/wiki/Advanced Encryption Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
https://"$sitedomain1".tor2web.org/"$Personalid"
http://"$sitedomain1".onion.to/"$Personalid"
https://"$sitedomain2".tor2web.org/"$Personalid"
http://"$sitedomain2".onion.to/"$Personalid"
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialisation.
3. Type in the address bar: "$sitedomain1".onion/"$Personalid" or "$sitedomain2".onion/"$Personalid"
4. Follow the instructions on the site.
!!! Your personal identification ID: "$Personalid"!!!

 Перевод текста на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ!!!!
BOK Ransomware
Все ваши файлы зашифрованы RSA-2048 AES-128 шифрами.
Подробную информацию о RSA AES можно найти здесь:
http://en.wikipedia.org/wiki/RSA (cryptosystem)
http://en.wikipedia.org/wiki/Advanced Encryption Standard
Расшифровать ваши файлы можно только с секретным ключом и программой расшифровки, которая есть на нашем секретном сервере.
Чтобы получить свой секретный ключ, проследуйте по одной из ссылок:
https://"$sitedomain1".tor2web.org/"$Personalid"
http://"$sitedomain1".onion.to/"$Personalid"
https://"$sitedomain2".tor2web.org/"$Personalid"
http://"$sitedomain2".onion.to/"$Personalid"
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor-браузер: https://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: "$sitedomain1".onion/"$Personalid" или "$sitedomain2".onion/"$Personalid"
4. Следуйте инструкциям на сайте.
!!! Ваш личный идентификационный ID: «$ Personalid» !!!

 Информация о выкупе (сумма в долларах, эквивалент в BTC, биткоин-кошелек) указаны на сайте вымогателей в Tor-сети.


Страницы с Tor-сайта вымогателей-разработчиков

 Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Список файловых расширений, подвергающихся шифрованию:
.7zip, .aac, .accdb, .accde, .accdr. .accdt, .ach, .acr. .act, .adb, .adp, .ads, .aes, .agdl, .aiff, .ait, .aoi, .apj, .apk, .ARC, .arw, .asc, .asf, .asm, .asp, .aspx,.asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4,.cdr5, .cdr6, .cdrw, .cdx, .cer, .cfg, .cgm, .cib, .class, .cmd, .cmt, .config, .contact, .cpi, .cpp, .craw, .crt, .crw, .csh, .csl, .csr, .csv, .CSV,.d3dbsp, .dac, .das, .dat, .dbf, .dbjournal, .dbx, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der. .des, .design, .dgc, .dif, .dip, .djv. .djvu. .dng. .doc, .dlt,.DOC, .docb, .docm, .docx, .dot, .DOT, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .els, .eml, .eps, .erbsql. .erf, .ess, .exf, .fdb, .ffd, .fff, .fhd,.fit, .fla, .flac, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .hbk, .hdd, .hpp, .html, .hwp, .Iay6, .ibank, .ibd, .Ibf, .ibz, .Idf, .idx, .iif, .iiq, .incpas, .indd, .Itx, .iwi,.jar, .java, .jnt, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key .kpdx, .kwm, .laccdb, .lay, .lit, .litemod, .litesql, .log, .lua, .m2ts, .mapimail, .max, .mbx,.mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mpeg, .mpg, .mrw, .ms11 (Security copy), .msg, .myd, .MYD,.MYI, .ndd, .ndf, .nef, .NEF, .nop, .nrw, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nxl, .nyf, .oab, .obj, .odb, .ode, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil,.onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .pab, .pages, .PAQ, .pas, .pat, .pcd, .pdb, .pdd, .pdf, .pef, .pem, .pet, .pfx, .php, .pic, .pif, .plus muhd, .png,.pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .PPT, .pptm, .pptx, .prf, .psafeS. .psd, .pspimage, .pst, .ptx, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx,.qby, .qcow, .qcow2, .qed, .raf, .rar, .rat, .raw, .rdb, .rtf, .RTF. .rvt, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sda, .sdf, .sldm, .sldx, .slk ... .zip (более 300 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
build.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
xxxx://bf6rqotof6hgyueo.onion/index.php
Jabber: bok@jabb.im
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются регулярно. 


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 David Montenegro‏ 
 *
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.
Автор: на

пятница, 9 июня 2017 г.

File Ripper

File Ripper Ransomware

(шифровальщик-вымогатель, шифровальщик-обучатель)


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем сообщает жертве, что можно бесплатно получить ключ дешифрования и вернуть файлы. Надо лишь сообщить разработчику, какой антивирус пропустил шифровальщик. Оригинальное название: File Ripper. На файле написано: Invoice_58205.pdf.exe. Фальш-имя: Adobe PDFProcessor. Разработчик: Danny. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

 © Генеалогия: HiddenTear >> File Ripper

 К зашифрованным файлам добавляется расширение .rip

 Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 👉 Позиционируется как "образовательный" проект, но файлы шифруются на самом деле, чем наносится реальный вред. 

 Записка с требованием выкупа называется: #HOW_TO_UNRIP#.txt 

 Содержание записки о выкупе:
YOUR FILES ARE KILLED
All your photos, videos, music, documents and other important files have been encrypted by the FILE RIPPER Ransomware!
Your unique ID: ***
If you are seeing this message it means this ransomware was not blocked by your AV
This is just an educational project and might get publiced on ThePCSecurityChannel Forum for some testing.
If you got this example from TPSC feel free to inform me about what AV you used etc.
If you got this ransomware from somewhere else, contact Danny @ forum.thepcsecuritychannel.com to get the decryption key for free.
If you want the decryption key (because you for example ran it on your host PC which is not recommended) just contact me!

 Перевод записки на русский язык:
ВАШИ ФАЙЛЫ УБИТЫ
Все ваши фото, видео, музыка, документы и другие важные файлы были зашифрованы FILE RIPPER Ransomware!
Ваш уникальный ID: ***
Если вы видите это сообщение, значит, этот вымогатель не был заблокирован вашим AV
Это лишь образовательный проект и был выложен на форуме ThePCSecurityChannel для разных тестов.
Если вы получили этот пример от TPSC, не стесняйтесь сообщить мне какой AV вы использовали и т.д.
Если вы получили этот вымогатель из другого места, свяжитесь с Danny @ forum.thepcsecuritychannel.com, чтобы получить ключ дешифрования бесплатно.
Если вы хотите ключ дешифрования (если, например, вы запустили его на своем ПК, что нежелательно), просто свяжитесь со мной!

 После контакта по email разработчик обещает предоставить ключ дешифрования и дешифровщик, который деактивирует вредонос. 
Окно экрана для дешифровки (File Unripper)

 Сообщение об отсутствии PDFProcessor

 Распространяется с одного из форумов самим разработчиком, но может начать распространяться с помощью email-спама и вредоносных вложений (Invoice_58205.pdf.exe), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
file_ripper.exe
file_unripper.exe
Invoice_58205.pdf.exe
папка \HTTest\

 Расположения:
\Desktop\Dingen\HTTest\#HOW_TO_UNRIP#.TXT

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
***superluckyblock.16mb.com
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются регулярно. 


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 *
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.
Автор: на

Xorist-TraNs

TraNs Ransomware

Xorist-TraNs Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $550 в BTC, чтобы вернуть файлы. Оригинальное название неизвестно. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

 © Генеалогия: Xorist >> Xorist-TraNs

К зашифрованным файлам добавляется расширение .TraNs
Некоторые файлы имеют расширение: .TraNs.TraNs550DonE

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: HOW TO DECRYPT YOUR FILES.txt

 Содержание записки о выкупе:
ATENTION!
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recover your files, but do not waste your time.
Nobody can recover your files without our decryption service.
You must pay 550$ via BTC for the decryption key
You have 4 days to pay for my services. After this period, you will lose all your files.
Step 1 - Create an account www.localbitcoin.com
Step 2 - Buy bitcoin worth 550 USD
Step 3 - Send the amount to this address: 1F6nfAKenZvzSg7RLjM4JhuzV4Aix5i4A4
Step 4 - Contact us on this email: bkmf@gmx.com with subject : DECRYPT KEY FOR ID-CLIENT-76785007
After these steps you receive softwere + key and tutorial for decryption.
For any questions please contact us at this email address: bkmf@gmx.com

 Перевод записки на русский язык:
ВНИМАНИЕ!
Многие из ваших документов, фото, видео, баз данных и других файлов больше не доступны, т.к. они были зашифрованы.
Возможно, вы заняты поиском способа восстановить свои файлы, но не тратьте свое время.
Никто не сможет восстановить ваши файлы без нашей службы расшифровки.
Вы должны заплатить 550$ через BTC за ключ дешифрования
У вас есть 4 дня для оплаты моих услуг. По истечении этого периода вы потеряете все свои файлы.
Шаг 1 - Создать учетную запись www.localbitcoin.com
Шаг 2 - Купить биткоин на сумму 550 долларов США
Шаг 3 - Отправить сумму на этот адрес: 1F6nfAKenZvzSg7RLjM4JhuzV4Aix5i4A4
Шаг 4 - Свяжитесь с нами по этому email: bkmf@gmx.com с темой: DECRYPT KEY FOR ID-CLIENT-76785007
После этих шагов вы получаете софт + ключ и учебник для дешифрования.
По всем вопросам обращайтесь к нам по этому адресу: bkmf@gmx.com

 Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT YOUR FILES.txt
Crypt1.exe
Crypt2.exe
0t82XO7TI241IXx.exe
LIn3s91vZpl92ge.exe

 Расположения:
C:\Users\User\AppData\Local\Temp\<random15>.exe

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: bkmf@gmx.com
BTC: 1F6nfAKenZvzSg7RLjM4JhuzV4Aix5i4A4
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Xorist Family (семейство Xorist в этом блоге):
Xorist-EnCiPhErEd Ransomware - май 2016
Xorist-FakeRSA Ransomware - февраль 2017
Xorist-Zixer2 Ransomware - апрель 2017
Xorist-TraNs Ransomware - июнь 2017
Xorist-RuSVon Ransomware - июль 2017
Xorist-Hello Ransomware - август 2017
Xorist-CerBerSysLock Ransomware - декабрь 2017
Xorist-Frozen Ransomware - февраль 2018
Xorist-XWZ Ransomware - март 2018
Xorist-TaRoNiS Ransomware - июль 2018
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware 
 Write-up, Topic of Support
 * 
 Thanks: 
 Chadm357 (victim in the topic of support)
 Andrew Ivanov
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на

Spectre

Spectre Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200, чтобы вернуть файлы. Оригинальное название. На файле написано: systemlog.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

 © Генеалогия: выясняется.


Изображение не принадлежит шифровальщику

 К зашифрованным файлам добавляется расширение .spectre
Файлы переименовываются с использованием Base64.

 Образец этого крипто-вымогателя был найден в начале июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: HowToDecryptIMPORTANT!.txt

 Содержание записки о выкупе:
IMPORTANT INFORMATION!
All your files are encrypted by encryption algorithm AES-256, you can't decrypt your files without a key.
If you want to decrypt your files you should pay 200$.
To decrypt your files go to xxxx://a0142503.xspn.ru/login.php 
your ID: ***

 Перевод записки на русский язык:
ВАЖНАЯ ИНФОРМАЦИЯ!
Все ваши файлы зашифрованы алгоритмом AES-256, вы не сможете расшифровывать файлы без ключа.
Если хотите расшифровать файлы, вы должны заплатить 200$.
Для расшифровки файлов, идите на xxxx://a0142503.xspn.ru/login.php 
ваш ID: ***

Скриншот указанного выше сайта до ввода ID

Скриншот того же сайта с сообщением
Другие страницы сайта

 Пока находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Теневые копии файлов удаляются. Контактирует с удаленным C2-сервером. После шифрования на удалённый сервер отправляется информация о количестве зашифрованных файлов. 

 Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .doc, .docx, .gif, .jpeg, .jpg, .mpeg, .pdf, .png, .ppt, .pptx, .rar, .rtf, .tiff, .txt, .wav, .wmv, .xls, .xlsx, .zip (21 расширение). 
Это документы MS Office, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
systemlog.exe
HowToDecryptIMPORTANT!.txt

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
***xxxx://a0142503.xsph.ru*** (141.8.195.157:80)
***xxxx://a0142503.xsph.ru/systemlog.exe***
См. ниже результаты анализов.

 Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

 Степень распространённости: низкая.
Подробные сведения собираются регулярно. 


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Spectre)
 Write-up, Topic of Support
 Video review 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на
Подписаться на: Сообщения (Atom)

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *