Hell, Radiation

Hell Ransomware
Radiation Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует выкуп в $310 в BTC, чтобы вернуть файлы. Оригинальное название двояко. На файле проекта написано: HellsRansomware. На исполняемом файле написано: ChaseBot. Другое название: NativeRansomware. Разработчик: dhill (KingCobra). Среда разработки: Visual Studio 2013 (для Decrypter), Visual Studio 2015 (для HellsRansomware).

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется. 
Имена файлов не изменяются. 

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступают текстовая записка, скринлок, встающий обоями рабочего стола и экран блокировки с кнопками.

Обои с текстом

Экран блокировки

Остальные скриншоты

Содержание текста с обоев:
Ugh.. oh!
Your Files Are Encrypted!
To retrieve your files
Please Refer to decrypt.exe and decrypt.txt
These files can be found on your desktop
#Hell Ransomware Made by KingCobra

Перевод текста на русский язык:
Ух .. ой!
Ваши файлы зашифрованы!
Для возврата ваших файлов
Обратитесь к файлам decrypt.exe и decrypt.txt
Эти файлы можно найти на рабочем столе
#Hell Ransomeware от KingCobra

Содержание текста с экрана "Radiation Ransomare"
Note your files are encrypted with AES + RSA encryption. This is not normal. In order to get your files back send 310$ to the bitcoin address below. There is no other way to decrypt your files. Any attempt to remove the ransomware may result in deletion of files and loss of data! Only Bitcoin is accepted. For more info on how to buy bitcoin click the button below.
Bitcoin Address: 1CryptcfFKJJES1Gh5zAoFtmnPYLCRcMmY

Перевод текста на русский язык:
Заметьте, что ваши файлы зашифрованы с шифрованиями AES + RSA. Это не нормально. Для возврата ваших файлов, шлите 310$ на биткоин-адрес ниже. Нет иного способа расшифровать ваши файлы. Любая попытка удалить ransomware может привести к удалению файлов и потере данных! Принимаются только биткоины. Для информации о покупке биткоинов, нажмите кнопку ниже.
Биткоин-адрес: 1CryptcfFKJJES1Gh5zAoFtmnPYLCRcMmY

Содержание текста с экрана "HowtoBuyBitcoin":
How to buy bitcoin
First Step: Get a Wallet
First you'll need a bitcoin wallet - an app that lets you receive, hold, and spend bitcoin.
Any one can work like http://coinbase.com
IF you want to keep this simple skip to the next step.
Second Step: Buy some bitcoin
Once you've set up your wallet app, you'll need to buy some bitcoin.
Bitcoin exchanges are available all over the world, allowing users to convert any currency into and out of bitcoin. Every country and region is different, so you'll want to do some research before choosing an exchange.
Some exchanges that does most times not require an ID for verification are paxful which can be found at http://www.paxful.com another is https://localbitcoins.com
Many other places also sell bitcoin.
Third Step: Make the Payment
Making a bitcoin payment is fast, convenient, and extremely secure.
To make a payment, you won't need to enter any sensitive card information. 
Instead, you'll simply send the payment from your bitcoin wallet.
So put in our address and send the bitcoin. We are legit and can be trusted. This is not a typical ransomware through which you do not get your files back. 
We would also like to remind you that, there is no other way to retrieve your files! Any "decrypter" or "antivirus" product simply is a scam and does not and will not work. It is really hard to crack a strong cipher like RSA + AES.

Перевод текста на русский язык (без корректировки):
Как купить биткоины
Первый шаг: получить кошелёк
Сначала вам нужен биткоин-кошелёк - приложение, которое позволяет получать, хранить и тратить биткоин.
Любой может работать на http://coinbase.com
Если вы хотите сохранить этот простой переход к следующему шагу.
Второй шаг: купите биткоины
Как только вы настроите свое приложение для кошелька, вам нужно купить какие-то биткоины.
Биткоин-обмен доступен во всем мире, что позволяет пользователям конвертировать любую валюту в биткоин и обратно. Каждая страна и регион различаются, потому вам нужно сделать некоторые исследования, прежде чем выбирать обмен.
Некоторые обмены в большинстве случаев не требуют идентификатора для проверки, как paxful, которые можно найти по адресу http://www.paxful.com, другой - https://localbitcoins.com
Многие другие места также продают биткоины.
Третий шаг: сделайте платеж
Сделать биткоин-платеж это быстро, удобно и очень безопасно.
Чтобы сделать платеж, вам не нужно вводить информацию о конфиденциальной карте.
Вместо этого вы просто отправите платеж из своего кошелька с биткоинами.
Просто вставьте наш адрес и отправьте биткоины. Мы являемся законными и им можно доверять. Это не типичная выгода, из-за которой вы не возвращаете свои файлы.
Мы также хотели бы напомнить вам, что нет другого способа получить ваши файлы! Любой продукт "decrypter" или "antivirus" является мошенничеством, не работает и не будет работать. Очень сложно взломать сильный шифр, такой как RSA + AES.

Содержание текста с вопросами-ответами:
Q: What's wrong with my files?
A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely! Let's start decrypting!
Q: What do I do?
A: First, you need to pay service fees for the decryption.Please send $300 worth of bitcoin to this bitcoin address BTC 1CryptcfFKJJES1Gh5zAoFtmnPYLCRcMmYNext, please find an application file named Decrypter. It is the decrypt software.
Ok follow how to pay the instruction! (You may need to disable your antivirus for a while.)
Q: How can I trust?
A: Don't worry about decryption.We will decrypt your files surely because nobody will trust us if we cheat users. you need just pay 1 transaction via bitcoin to specific server our give you how pay instruction to bitcoin address BTC 1CryptcfFKJJES1Gh5zAoFtmnPYLCRcMmY

Перевод текста на русский язык (без корректировки):
В: Что случилось с моими файлами?
О: Упс, ваши важные файлы зашифрованы. Это значит, что вы не сможете получить к ним доступ, пока они не будут дешифрованы.
Если вы следуете нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно дешифровывать все ваши файлы! Давайте начнем дешифровку!
В: Что мне делать?
О: Во-первых, вам нужно заплатить за дешифрование. Пожалуйста, отправьте биткоины стоимостью $300 на этот биткоин-адрес BTC 1CryptcfFKJJES1Gh5zAoFtmnPYLCRcMmY
Далее, найдите файл программы с именем Decrypter. Это программ дешифрования.
Хорошо, следуйте инструкциям! (Может, вам потребуется на какое-то время отключить антивирус.)
В: Могу ли я доверять?
О: Не беспокойтесь о дешифровке. Мы обязательно дешифруем ваши файлы, т.к. никто не будет доверять нам, если мы обманем пользователей. Вам нужно просто оплатить 1 транзакцию с биткоинами на конкретный сервер, который даст инструкции вам, как платить на биткоин адрес BTC 1CryptcfFKJJES1Gh5zAoFtmnPYLCRcMmY

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Из-за ошибок в кодировании файлы безвозвратно повреждаются. 
Уплата выкупа бесполезна!!!

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ChaseBot.exe
RADIATION.bin
RADIATION.txt
memes.jpg
decrypt.exe
decrypt.txt
decrypter.exe
public.me
private.me

Расположения:
%TMP%/memes.jpg
%TMP%/decrypter.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1CryptcfFKJJES1Gh5zAoFtmnPYLCRcMmY
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Radiation)
 Write-up, Topic of Support
Video review

 Thanks: 
 Lawrence Abrams‏ 
 Michael Gillespie
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

EnCrypt

EnCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название неизвестно.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия:  выясняется.

К зашифрованным файлам добавляется расширение .en

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_THIS_FILE.txt

 Записка о выкупе (две страницы)

Содержание записки о выкупе:
  YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
---
 The only way to decrypt your files is to receive the private key and decryption program.
 To decrypt your files you need to buy the private key
 ---
                     HOW TO GET THE PRIVATE KEY?
 1. Create a Bitcoin Wallet (blockchain.info)
 2. Buy necessary amount of Bitcoins (50$)
    Do not forget about the transaction commission in the Bitcoin network
    Here are our recommendations:
   Korbit.co.kr - Bitcoin, Ethereum & Ripple Trading In Korea
    btcdirect.eu  - A good service for Europe
    bittylicious.com - Get BTC via Visa / MC or SEPA (EU) bank transfer
    localbitcoins.com - This service allows you to search for people that want to sell Bitcoins directly (WU, Cash, SEPA, Paypal, etc).
    cex.io - Buy Bitcoins using Visa / Mastercard or Wire Transfer.
    coincafe.com  - It is recommended for the fast and easy service. Payment methods: Western Union, Bank of America, cash through FedEx, Moneygram, and/or wire transfer
    bitstamp.net - Old and proven Bitcoin dealer
    coinmama.com  - Visa/Mastercard
    btc-e.com - Bitcoins dealer (Visa/Mastercard, etc.)
    Could not find Bitcoins in your region? Try searching here:
    buybitcoinworldwide.com  International catalog of Bitcoins exchanges
    bitcoin-net.com  - Another Bitcoins sellers catalog
    howtobuybitcoins.info - International catalog of Bitcoins exchanges
    bittybot.co/eu  - A catalog for the European Union
 3. Send 50$ to the following Bitcoin address:
        1H9jjVku8RPzQ4gDsA4oBQLNw9tEYHaC5X
 4. Go to the following site:
        http://yfkhfomk3iqod5vb.onion 
 5. In there site insert:
    ID ([redacted])
    Your btc address (the same utilized for the payment)
    Your email address (to receive the key and the program for decrypt)
 6. Wait 24/48h and check your email (also the spam)
 ---
                     HOW TO ACCESS TO THE WEBSITE?
 1. Download "Tor Browser" from https://www.torproject.org/ and install it.
 2. In the "Tor Browser" open:
        http://yfkhfomk3iqod5vb.onion 
 Note! This page is available via "Tor Browser" only.
 ---
 Also you can use temporary addresses without using "Tor Browser".
 ---
 1. http://yfkhfomk3iqod5vb.tor2web.org
 2. http://yfkhfomk3iqod5vb.onion.link 
 3. http://yfkhfomk3iqod5vb.onion.nu 
 4. http://yfkhfomk3iqod5vb.onion.cab 
 5. http://yfkhfomk3iqod5vb.onion.to
 ---

Перевод записки на русский язык:
ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
---
 Единственный способ расшифровать ваши файлы - получить закрытый ключ и программу дешифрования.
 Чтобы расшифровать ваши файлы, вам нужно купить закрытый ключ
 ---
                     КАК ПОЛУЧИТЬ ЗАКРЫТЫЙ КЛЮЧ?
 1. Создайте Биткоин-кошелек (blockchain.info)
 2. Купите нужное количество биткоинов (50 $)
    Не забывайте о транзакционной комиссии в Bitcoin-сети
    Вот наши рекомендации:
   Korbit.co.kr - Bitcoin, Ethereum & Ripple Trading в Корее
    Btcdirect.eu - Хороший сервис для Европы
    Bittylicious.com - Получите BTC через банковский перевод Visa / MC или SEPA (EU)
    Localbitcoins.com - Эта услуга позволяет вам искать людей, которые хотят напрямую продавать Bitcoins (WU, Cash, SEPA, Paypal и т.д.).
    Cex.io - Покупка биткоинов с использованием Visa / Mastercard или Wire Transfer.
    Совместимость - рекомендуется для быстрого и легкого обслуживания. Способы оплаты: Western Union, Bank of America, наличные деньги через FedEx, Moneygram и / или банковский перевод
    Bitstamp.net - Старый и проверенный дилер Bitcoin
    Coinmama.com - Visa / Mastercard
    Btc-e.com - Дилер Bitcoins (Visa / Mastercard и т. Д.)
    Не удалось найти биткоины в вашем регионе? Попробуйте найти здесь:
    Buybitcoinworldwide.com Международный каталог обменов биткоинами
    Bitcoin-net.com - Другой каталог продавцов биткоинов
    Howtobuybitcoins.info - Международный каталог обменов биткоинами
    Bittybot.co.eu - Каталог для Европейского Союза
 3. Отправьте 50$ на следующий биткоин-адрес:
        1H9jjVku8RPzQ4gDsA4oBQLNw9tEYHaC5X
 4. Перейдите на следующий сайт:
        http://yfkhfomk3iqod5vb.onion
 5. Там размещён сайт:
    ID ([отредактирован])
    Ваш btc-адрес (тот же, что и для платежа)
    Ваш email-адрес (чтобы получить ключ и программу для расшифровки)
 6. Подождите 24/48 ч. и проверьте свой email (и папку "Спам")
 ---
                     КАК ПОЛУЧИТЬ ДОСТУП К ВЕБ-САЙТУ?
 1. Загрузите «Tor Browser» с https://www.torproject.org/ и установите его.
 2. В «Tor Browser» откройте:
        http://yfkhfomk3iqod5vb.onion
 Заметьте! Эта страница доступна только через Tor-браузер.
 ---
 Также вы можете использовать временные адреса без использования «Tor-браузера.

Начальная страница Tor-сайта

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_THIS_FILE.txt
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1H9jjVku8RPzQ4gDsA4oBQLNw9tEYHaC5X
xxxx://yfkhfomk3iqod5vb.onion 
xxxx://yfkhfomk3iqod5vb.tor2web.org
xxxx://yfkhfomk3iqod5vb.onion.link 
xxxx://yfkhfomk3iqod5vb.onion.nu 
xxxx://yfkhfomk3iqod5vb.onion.cab 
xxxx://yfkhfomk3iqod5vb.onion.to
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as EnCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Lalabitch

Lalabitch Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные серверов с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .lalabitch
Зашифрованные файлы переименовываются с помощью base64. 

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: lalabitch.php

Содержание записки о выкупе:
Your site is locked with Lalabitch Custom encryption method. 
Please pay 0.5 btc to 18LbTxonanfMoh43t47Pjvdox7z2HFaiM9 for the Decryption key. Or else, 
in 12 hours all of your files in this website will be deleted
- [lalabitch2017[at]yandex.com] -
----------------------------------------------
This is a notice of ransomware.
How to restore the beginning?
Please contact us via email listed

Перевод записки на русский язык:
Ваш сайт заблокирован с Lalabitch обычным способом шифрования.
Оплатите 0.5 btc на 18LbTxonanfMoh43t47Pjvdox7z2HFaiM9 за ключ дешифрования. Или, через 12 часов все ваши файлы на этом веб-сайте будут удалены.
- [lalabitch2017 [at] yandex.com] -
----------------------------------------------
Это уведомление о выкупе.
Как начать восстановление?
Свяжитесь с нами по email.

Технические детали

Может распространяться путём взлома сервера через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Скриншот интерфейса

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Из шифрования исключаются файлы, содержащие в имени: 
.php
.png
404.php
.htaccess
.lndex.php
DyzW4re.php
index.php
.htaDyzW4re

.lol.php

Файлы, связанные с этим Ransomware:
lalabitch.php
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 18LbTxonanfMoh43t47Pjvdox7z2HFaiM9
Email: lalabitch2017@yandex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Lalabitch)
 Write-up, Topic of Support
 * 

Added later:
Write up on BC
*
*

 Thanks: 
 Michael Gillespie
 Catalin Cimpanu
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

LeakerLocker

LeakerLocker Ransomware

LeakerLocker Mobile Ransomware

(вымогатель для Android-устройств)
Translation into English

Этот вымогатель для Android-устройств не шифрует данные пользователей, но блокирует экран устройства и угрожает разослать очень личную информацию всем контактам, и требует выкуп в $50-100, чтобы этого не делать. Оригинальное название: не указано. 
---

BitDefenderFalx -> Android.Trojan.LeakerLocker.BX

DrWeb -> Android.RemoteCode.57

ESET-NOD32 -> Android/Locker.KW, A Variant Of Android/Locker.KW

Kaspersky -> HEUR:Trojan.AndroidOS.AdLocker.c

Kingsoft -> Android.Troj.LeakerLocker.a.(kcloud)

McAfee -> Android/Ransom.LeakerLocker.A!Pkg

Microsoft -> Trojan:AndroidOS/Multiverze

Symantec Mobile Insight -> Trojan:Lockdroid.E

TrendMicro -> ANDROIDOS_LEAKERLOCKER.HRX, TROJ_FRS.0NA003GD17

---

© Генеалогия: Удобная ниша (CNAM) >> LeakerLocker

CNAM (Convenient niche for Android malware) — в переводе "Удобная ниша для вредоносного ПО для Android", которая изначально поспособствовала разработке и распространению вредоносных программ для Android-устройств. 

Я придумал этот термин, чтобы в культурной форме назвать это злачное место. 

Информация для идентификации

Активность разных вариантов этого вымогателя была зафиксирована в апреле-июле 2017 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Оригинальный LeakerLocker не шифровал личные данные пользователей, а незаметно создавал их резервную копию. Причем данные собирались случайным образом, т.е. выборочно. После этого вредонос угрожал разослать всем контактам из телефонной книги и привязанной к гаджету электронной почты очень личные фото, историю браузера и все остальное. Чтобы предотвратить отправку фотографий, переписок и истории браузера, жертвы должны были заплатить 50 или 100 долларов (см. на фото ниже оба варианта выкупа). 

 

Свои требования вымогатель отображал, используя компонент WebView, то есть поверх окон других приложений, блокируя экран устройства.

Содержание текста с экрана: 

Identity and Privacy

LEAK

All personal data from your smartphone has been trasfered to our secure cloud.

It contains:

- Personal photos ()

- Contact numbers ()

- Sent and received SMS ()

- Phone calls history ()

- Facebook messages

- Chrome visits history

- Full email texts

- GPS location history

In less then 72 hours this data will be sent to every person from your telephone and email contacts list.

To abort this action you have to pay a modest RANSOM of $50.

PROCCEED

Please note that there is no way to delete your data from our secure but paying for them. Powering off or even damaging your smartphone won't affect your data in the cloud.

Перевод на русский язык: 

Личность и конфиденциальность

УТЕЧКА

Все личные данные с вашего смартфона были перенесены в наше защищенное облако.

Это содержит:

- Личные фотографии ()

- Контактные телефоны ()

- Отправленные и полученные СМС ()

- История телефонных звонков ()

- Сообщения в Facebook

- История посещений Chrome

- Полные тексты электронной почты

- История местоположения GPS

Менее чем через 72 часа эти данные будут отправлены каждому человеку из вашего списка контактов по телефону и электронной почте.

Чтобы прервать это действие, вы должны заплатить скромный ВЫКУП в размере $50.

ПРОДОЛЖИТЬ

Обратите внимание, что нет способа удалить ваши данные из нашего безопасного хранилища, кроме как заплатить за них. Выключение или даже повреждение смартфона не повлияет на ваши данные в облаке.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Исследователи обнаружили в Google Play три программы, содержавшие LeakerLocker. Они назывались Booster & Cleaner Pro (оптимизатор памяти, скачан более 1000 раз), Wallpapers Blur HD (сменшик обоев, скачан более 5000 раз) и Calls Recorder (регистратор звонков с дополнительными настройками). 

В магазине приложений злоумышленники выставляли этим приложениям положительные оценки, а в комментариях добавляли положительные отзывы как бы от довольных пользователей. Поначалу установленные приложения делали вид, что работали, но тайно собирали личную информацию. Через некоторое время пользователь получал сообщение с требованием выкупа за удаление собранной информации с сервера.

Судя по комментариям пользователей, оба приложения были частью какой-то бонусной программы, то есть за их установку пользователям предлагали заплатить небольшие деньги.

  

На момент написания статьи приложения Booster & Cleaner Pro и Wallpapers Blur HD уже были удалены из онлайн-магазина приложений, а Calls Recorder, видимо, был удален позже. Но они еще могут быть скачаны со всевозможных сайтов-барахолок для Android-устройств. Например, я легко нашел одно из этих приложений на первом попавшемся сайте даже спустя 5 лет. Скриншот ниже. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ LeakerLocker не использовал никаких эксплойтов и полагался только на права, которые ему добровольно предоставляли сами жертвы. В результате вымогатель получал доступ к почте, списку контактов, истории Chrome, текстовым сообщениям, истории звонков, фотографиям, информации об устройстве и так далее. Но исследователи не обнаружили в коде приложений функций, которые могли бы отвечать за передачу этих данных на удаленный сервер или отправку личной информации всем контактам. И хотя угрозы LeakerLocker, похоже, были совершенно пустыми, специалисты все же не исключают возможности, что вымогатель мог скачивать какой-то дополнительный модуль с удаленного сервера. Вероятно, это происходило, если пострадавший не оплачивал выкуп в размере $50-100.

Файлы, подвергающихся копированию и угрозе рассылки:
Это документы, текстовые файлы, фотографии, музыка, видео и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.apk - случайное название вредоносного файла. 

Расположения и целевые директории:
\Android\ ->

\Data\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

URL: hxxx://updatmaster.top/click.php*

URL: hxxx://goupdate.bid/click.php*

URL со скриншота: hxxx://designthing.net

Email со скриншота: ostashkinpp@gmail.com

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

VirusTotal analysis >>

Intezer analysis >>

---

VirusTotal analysis >>

Intezer analysis >>

---

VirusTotal analysis >>

Intezer analysis >>

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (n/a)
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 McAfee, Trend Micro
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.