Если вы не видите здесь изображений, то используйте VPN.

среда, 1 ноября 2017 г.

Different Jigsaw

Jigsaw 2018-2021 Ransomware

Different Jigsaw-based Ransomware

Different modified Jigsaw Ransomware

Different faked Jigsaw Ransomware

Сборник разных вариантов Jigsaw за 2017-2021 годы

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритмов AES и RSA, а затем требует выкуп в долларах, BTC или в другой валюте, чтобы вернуть файлы. Оригинальное название: Jigsaw, Jigsaw Locker, JigsawRansomware, Blackmailer и другие. Распространяется разными группами вымогателей с апреля 2016 года по всему миру. Множество предыдущих вариантов можно увидеть в конце статьи. 

Файлы, зашифрованные некоторыми описанными здесь вариантами могут быть расшифрованы с помощью Decryptor for Jigsaw. Если нужна помощь, обращайтесь к Майклу Джиллеспи

Мы ничего не знаем о вымогателях и распространителях, и не собираем их личную информацию. Множество собранных вариантов можно увидеть здесь по годам. 

В данной статье будут очень кратко описаны различные варианты, для которых я не сделал отдельных статей, потому что получил очень мало информации или не располагал свободным временем. Статья сформирована из разных сообщений в ноябре 2021 года. 

---
Обнаружения:
DrWeb -> Trojan.EncoderNET.1
ALYac -> Trojan.Ransom.Jigsaw
BitDefender -> Generic.MSIL.Ransomware.Jigsaw.*
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Jigsaw.B
Kaspersky -> HEUR:Trojan.Win32.Generic
Malwarebytes -> Ransom.Jigsaw.Generic
Microsoft -> Ransom:MSIL/JigsawLocker.A
Rising -> ***
Symantec -> Ransom.Jigsaw
Tencent -> Win32.Trojan.Generic.Hufs
TrendMicro -> Ransom.MSIL.JIGSAW.SM
---

© Генеалогия: Jigsaw >> Jigsaw измененные, фейки
© Genealogy: Jigsaw >> Jigsaw modified, faked

Активность этого крипто-вымогателя началась в апреле 2016 года и продолжалась в последующие годы. Ориентирован, в основном, на англоязычных пользователей, но может распространяться по всему. 

Чаще всего вымогателями применяются варианты, ориентированные на англоязычных пользователей. Они могут распространяться в какой-то отдельно взятой стране или по всему миру.

Записка с требованием выкупа обычно написана на экране блокировки, текст может быть на разных языках, но чаще всего на английском языке. 

***

Содержание записки о выкупе:
*** can be anything ***

Перевод записки на русский язык:
*** может быть любым ***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
firefox.exe - копия исполняемого файла; 
drpbx.exe - копия исполняемого файла. 

Расположения:
C:\Users\User\AppData\Roaming\Frfx\firefox.exe 
C:\Users\User\AppData\Local\Drpbx\drpbx.exe 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: разные в каждом случае
BTC: разные в каждом случае
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 


Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ВАРИАНТОВ === BLOCK OF VARIANTS ===

=== 2017 ===

Вариант от 4 ноября:
Сообщение >>
Расширение: .####CONTACT_US_pablukl0cker638yzhgr@2tor.com####
Email: pablukl0cker638yzhgr@.2tor.com
BTC: 1PWRLD5HkW3U1fqDc5bqvwAbZe3VbnHXgV
Файл: LoL VIP RP HACK 4.0.exe
Результаты анализов: VT

Вариант от 11 ноября:
Сообщение >>
Расширение .##ENCRYPTED_BY_pablukl0cker##
Файл: LoL VIP RP HACK 4.0.exe
Результаты анализов: VT


=== 2018 ===

Вариант от 8 января:
Сообщение >>
Расширение: .FUCKMEDADDY
Файл: BIG DADDY COCK.exe
Описание: BIGDICKDADDDYPORN
Результаты анализов: VT

Вариант от 9 января:
Сообщение >>
Расширение: .CryptWalker
Файл: BitcoinBlackMailer.exe
Описание: Firefox
Результаты анализов: VT

Вариант от 19 января:
Сообщение >>
Расширение: .LOCKED_BY_pablukl0cker
Самоназвание: MADA RANSOMWARE
Email: rakolo23@gmail.com
Результаты анализов: VT
➤ Содержание текста о выкупе:
OOPS! YOUR FILES ARE CRYPTED BY MADA RANSOMWARE!!!
Your documents, photos, videos etc .
And after 72 hours, all your files will be removed premanently !!!
But there is nothing to worry about :) it will only happen when you fly in a fuck
Every hour I delete one randomly selected file and delete it premanently!!!
I can not recover such a file anymore, even after making the payment!!!
You will lose only a few files for the first 24 hours.
but the next day a few hundred, the third day, a few thousand, etc ...
If you turn off your computer or try to shut me down, I will fire again.
I automatically remove 1000 files permanently for trying to recommend me in a fuck!!!
Remember that even the best anti-virus is unable to recover encrypted files!
If you have any questions, please contact us via e-mail rakolo23@gmail.com!!!
Payment for decrypting files is only possible in BITCOIN!!!
If you do not know how to buy bitcoins, visit www.4coin.pl!!!
Now make a choice !!! pay and recover your files, or say goodbye to your files forever!!!


Вариант от 5 февраля:
Сообщение >>
Расширение: .#
Файл: Setup_install.exe
Результаты анализов: VT

Вариант от 6 февраля:
Сообщение >>
Расширение: .justice
Файл: Genel Maliyetler.exe
Результаты анализов: VT

Вариант от 13 февраля:
Сообщение >>
Ориентация: корейские пользователи
Расширение: .locked
Email: fbgwls245@naver.com
Файлы: Chrome32.exe, firefox.exe
Результаты анализов: VT + HA
 Список целевых расширений: .3g2, .3gp, .7zip, .aep, .aepx, .aet, .ai, .aif, .as.txt, .as3, .asf, .asp, .asx, .avi, .backup, .bmp.3dm, .class, .cpp, .cs, .csv, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dxf.c, .efx, .eps, .fla, .flv, .gif, .h, .html, .hwp, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js.aaf, .m3u, .m3u8, .m4u, .max.accdb, .mdb, .mid, .mkv.dat, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .raw, .rb, .rtf, .sdf, .ses.rar, .sldm.wav, .sldx, .sql.dwg, .svg, .swf, .tif, .vcf, .vob, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip (120 расширений).

Вариант от 1 марта:
Сообщение >>
Расширение: .contact-me-here-for-the-key-admin@adsoleware.com
Результаты анализов: VT
Статус: Дешифруется! Дешифровщик обновлён!

Вариант от 4 марта:
Сообщение >>
Расширение: .Bitconnect
Результаты анализов: VT

Вариант от 6 марта:
Сообщение >>
Расширение: .jes
Файл: GetFacebookPasswordV2.exe
Фальш-имя: Firefox
Результаты анализов: VT

Вариант от 14 марта:
Сообщение >>
Расширение: .email-[powerhacker03@hotmail.com].koreaGame
Цель: Корея. 
Email: powerhacker03@hotmail.com
Результаты анализов: VT

Вариант от 22 марта:
Фальш-имя: Firefox
Файл: BitcoinBlackmailer.exe
Результаты анализов: VT

Вариант от 26 марта:
Расширение: .fun
BTC: 3D1cnwtAr3zetyzuDA61HkSjeMg2W1418F
Название проекта: JigsawRansomware.pdb
Файл: tool pour lobby.exe
Результаты анализов: VT

Вариант от 28 марта:
Название проекта: BitcoinStealer.pdb
Файл: BitcoinStealer.exe
Результаты анализов: VT + VT

Вариант от 3 апреля:
Расширение: .onion
Результаты анализов: VT

Вариант от 3 апреля:
Расширение: .fun
Результаты анализов: VT

Вариант от 6 апреля:
Расширение: .LolSec
Результаты анализов: VT

Вариант от 17 апреля:
Самоназвание: Apophis Ransomware 
🎥 Видеообзор от GrujaRS >>
Расширение: .fun
Сумма выкупа: $500
BTC: 1Hd3tU8MDmuVotMgGJTJ7svzvPey6bfUgm
Файлы: ApophisRansomware.exe, apibooter.exe, drpbx.exe, _ReadMe_.txt 
Результаты анализов: HA + VT + VT + AR + VB


 
 Список целевых расширений:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip (126 расширений). 

Вариант от 17 мая:
Сообщение >>
Расширение: .booknish
Файл: JigsawRansomware.exe
Фальш-имя: Firefox
Целевые типы файлов: .bmp, .dat, .db, .doc, .gif, .h, .jpg, .ppt, .py, .swf, .txt, .wav, .xls, .xml, .zip
Результаты анализов: VT



Вариант от 3 июля:
Сообщение >>
Самоназвание: choda ransom (초다 랜섬웨어)
Расширение: .choda
Цель: Корея
Файл: 초다 랜섬웨어.exe
Результаты анализов: VT

Вариант от 5 июля:
Сообщение >>
Расширение: .coder007@protonmail.com
Email: coder007@protonmail.com
Файл: JigsawRansomware.exe
Фальш-имя: Firefox
Результаты анализов: VT

Вариант от 10 июля:
Сообщение >>
Расширение: .##___POLICJA!!!___TEN_PLIK_ZOSTA
Файл: JIGSAW_DZIALAJACY!!!-.exe
Результаты анализов: VT

Вариант от 23 июля:
Сообщение >>
Расширение: .black007
Результаты анализов: VT

Вариант от 1 августа:
Расширение: .invaded
Результаты анализов: VT

Вариант от 6 августа:
Версия: Turkish Jigsaw
Расширение: .tedcrypt

Вариант от 17 августа:
Расширение: .hacked.by.Snaiparul
Результаты анализов: VT

Вариант от 17 августа:
Расширение: .lockedgood
Результаты анализов: VT

Вариант от 17 августа:
Расширение: .fun
Результаты анализов: VT



Вариант от 17 августа:
Версия: Chinese 
Расширение: .pleaseCallQQ
Результаты анализов: VT

Вариант от 24 августа:
Версия: Polish 
Расширение: .#__EnCrYpTED_BY_dzikusssT3AM_ransomware!__#
Результаты анализов: VT

Вариант от 24 августа:
Расширение: .FuckedByGhost
Результаты анализов: VT

Вариант от 25 августа:
Расширение: .spaß
Текст на немецком языке. 
Создает новый ключ для каждого файла, который даже не сохраняется.


=== 2019 ===

Вариант от 14 января:
Сообщение >>
Расширение: .data
Сумма выкупа: 100€ (евро)
Текст на французском языке. 
Файл EXE: molotov.exe
Результаты анализов: VT



Вариант от 16 января 2019: 
Самоназвание: Oscar Venom
Сообщение: https://twitter.com/malwrhunterteam/status/1085949675012870144
Расширение: .venom
Файл: OscarRansomware.exe
Результаты анализов: VT

 

  


Вариант от 17 января: 
Расширение: .PC-FunHACKED!-Hello - повторяется 35 раз
Результаты анализов: VT



Вариант от 17 января: 
Поддельный Jigsaw Ransomware.
Пароль: 1212
Результаты анализов: VT




Вариант от 29 января: 
Сообщение >>
Самоназвание: ANTI-CAPITALIST
Расширение: .fun
Текст на французском языке. 
Результаты анализов: VT



Вариант от 31 января: 
Сообщение >>
Расширение: .YOLO
Email: redteam@yolosecfamework.com
➤ Список целевых расширений:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as.as3, .asf, .asp, .asx, .avi, .bmp.c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip (126 расширений).
Результаты анализов: VT + HA


➤ Текст вымогателей (содержит ошибки): 

Greeting and salutations, Blue Team.
Your personal files are deleting. Your company intellictual property is belonging to us now...
But, Red Team is not being so hearless. It will only happen if you don't pay ransom.
However we has encrypting so as not you can access them.
Every 10 minutes we are selects some of them to deleted permanently, therefore we cannot accessing them, either.
While Red Team is being merciful, Red Team is not without limiting patience.
We starts out slowmess then increasing delted files every 10 minutes.
This is to be helping you with the decision to pay ransom and recover datas. 
the next a few hundred, and a few thousand, and so on. You are getting the breeze, no?
If you are turning off your computer or closing window, when malware start next time we will 1000 files deleted as way of punishmenting you.
You wil be wanting malware to start next time, since only way that is capable to decrypting your personal datas for you.
Please be sending all payments to redteam@yolosecfamework.com
Also including unique hash in text box below or not know who to decrypted.
Send a picture of the blue team holding sign that say 'Red Team Rules' to: 
***


Вариант от 7 февраля: 
Сообщение: https://twitter.com/demonslay335/status/1093512884867530752
Расширение: .paycoin 

Вариант от 17 февраля: 
Версия: DeltaSEC Jigsaw
Сообщение: https://twitter.com/malwrhunterteam/status/1096850085697282049

Вариант от 2 апреля: 
Сообщение: https://twitter.com/malwrhunterteam/status/1113067683581321216
Расширение: .locked
Email: onlineservices1@usa.com 
Hacked by Z3b1 *** 

Вариант от 10 июля: 
Версия: Rodentia Jigsaw
Сообщение: https://twitter.com/malwrhunterteam/status/1148963349775945728

Вариант от 27 сентября: 
Сообщение: https://twitter.com/malwrhunterteam/status/1177517626521604097
Выглядит как Jigsaw. 
Расширение: .LOCKED_PAY

Новость от 19 ноября: 

Вариант от 20 ноября: 
Сообщение: https://twitter.com/demonslay335/status/1197186386136387586

Вариант от 7 декабря:
Версия: Czech/Slovak
Сообщение: https://twitter.com/malwrhunterteam/status/1203052551379341312
Сообщение: https://twitter.com/fbgwls245/status/1203492475291090945
Сообщение: https://twitter.com/raby_mr/status/1203915444945588224
Расширение: .fun

Вариант от 31 декабря:
Версия: AlbCry на основе Jigsaw. 
Сообщение: https://twitter.com/malwrhunterteam/status/1211730239128248321


=== 2020 ===

Вариант от 19 февраля: 
Сообщение: https://twitter.com/Jirehlov/status/1229927225081749504
Сообщение: https://twitter.com/GrujaRS/status/1230025038352519169
Расширение: .exe

Вариант от 1 мая: 
Сообщение: https://twitter.com/James_inthe_box/status/1256219698728972291
Расширение: .zemblax

Вариант от 16 мая: 
Сообщение: https://twitter.com/jstrosch/status/1261431163878588417

Вариант от 11 июля:
Топик на форуме >>
Расширение: .btc
Результаты анализов: VT



Вариант от 17 июля: 
Сообщение: https://twitter.com/Kangxiaopao/status/1284071330241892353
Расширение: .homer

Вариант от 25 октября: 
Сообщение: https://twitter.com/GrujaRS/status/1320118445732732933
Расширение: .evil


=== 2021 ===

Варианты от 8-10 сентября: 
Расширение: .fun
Результаты анализов: VT + AR + IA / VT + AR + IA 

Вариант от 3 апреля:
Сообщение: https://twitter.com/GrujaRS/status/1378357626749259778
Расширение: .cat

Вариант от 27 августа 2021:
Email: Jessie.pinkk@mailfence.com, Jessiepinkk@tutanota.com, JessieCage@cock.li




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam, GrujaRS, S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Halloware

Halloware Ransomware
 🎃 THE HALLOWEEN VIRUS

(шифровальщик-вымогатель или фейк-шифровальщик)


Этот крипто-вымогатель шифрует (или пишет, что шифрует) данные пользователей с помощью AES-256, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: Halloware. На файле может быть написано, что угодно. Разработчик: tn cyber squard. В новой версии: Luc1F3R. 

© Генеалогия:  🎃 THE HALLOWEEN VIRUS

К зашифрованным файлам добавляется слово в скобках (Lucifer)

Активность этого крипто-вымогателя пришлась на первую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текстовая записка с требованием выкупа не оставляется. 

Запиской с требованием выкупа выступает onion-сайт, на котором используется "жуткое изображение" из набора обоев (creepy-christmas-wallpaper). 

Изображение "creepy-christmas-wallpaper"

Более ранний вариант Halloware со словом Unencrpyt в конце


Требования выкупа на Tor-сайте со словом decrypt в конце


Содержание записки о выкупе (два варианта):
Your Data Have Been Encrpyted
If You Need Your Data Back You Need To
Pay Us 150 Dollar bitcoin
btc address = 12SPbRUQC9Jz8z7wQyb28ZADAJVvpq6yEL
for help contact us Launch browser and go to the link (create email in TOR network): torbox3uiot6wchz.onion Write on email: tncybersquard@torbox3uiot6wchz.onion
Your Data Is Safe When You Pay Us We Will Give You Key And You Can Unencrpyt Your Data

***
Your Data Have Been Encrpyted
If You Need Your Data Back You Need To
Pay Us 150 Dollar bitcoin
for help contact us Launch browser and go to the link (create email in TOR network): torbox3uiot6wchz.onion Write on email: tncybersquard@torbox3uiot6wchz.onion
Your Data Is Safe When You Pay Us We Will Give You Key And You Can decrypt Your Data


Перевод записки на русский язык (грамота сохранена):
Ваши данные были зашифированы
Если вам нужны ваши данные назад, вам нужно
Заплатить нам 150 долларов
btc address = 12SPbRUQC9Jz8z7wQyb28ZADAJVvpq6yEL
для помощи свяжитесь с нами Запустите браузер и перейдите по ссылке (создайте email в сети TOR): torbox3uiot6wchz.onion Напишите на email: tncybersquard@torbox3uiot6wchz.onion
Ваши данные безопасны, когда вы платите нам. Мы дадим вам ключ, и вы можете расшифровать ваши данные



Технические детали

Был продемонстрирован в частном порядке. После доработки может начать распространяться любым из следующих способов: путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asp, .aspx, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .html, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa,  .mpeg, .mpg, .msg, .odt, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .ses, .sldm, .sldx, .sln, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (131 расширение без дублей). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Halloware.exe
<random>.exe

Видеопрезентация Halloware.exe - 🎃The Halloween Virus:
ссылка на ролик от 31 октября 2017 >>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://b6tnq5nrhxu6tqeu.onion
xxxx://b6tnq5nrhxu6tqeu.onion.rip
xxxx://zinrm67igbdcdy5h.onion
xxxx://zinrm67igbdcdy5h.onion.rip
Email: tncybersquard@torbox3uiot6wchz.onion
BTC: 12SPbRUQC9Jz8z7wQyb28ZADAJVvpq6yEL
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 2 декабря 2017:
Файлы: hmavpncreck.exe, bill.exe, hma_vpn_crecked.exe
Результаты анализов: VT + VT
Когда этот образец Halloware шифрует файлы с использованием жёстко закодированного ключа AES-256, то добавляет слово (Lucifer) к зашифрованным файлам. Например, после шифрования файл image.png станет (Lucifer)image.png

Примеры зашифрованный файлов от BC

По окончании шифрования Halloware выдаёт окно, показывающее жуткого клоуна с сообщением о выкупе, ссылкой на сайт оплаты и заменяет обои рабочего стола аналогичным сообщением. Эта версия Halloware также не оставляет текстовые записки о выкупе.

 Скриншоты этой версии Halloware из статьи на сайте BC


Часть скриншота с продающего сайта (адрес скрыт)

Версия Halloware с реализованным шифрованием продаётся в Даркнете за 40 долларов. Всё, что нужно сделать покупателю, это заменить два изображения и добавить свой сайт с помощью настраиваемой формы для URL-адреса сайта.
---

Обновление от 3 декабря 2017:
Email не менялся: tncybersquard@torbox3uiot6wchz.onion


Halloware переместил сайт 
продажи на новый Tor-адрес, получил редизайн страницы  и добавил немного жуткой музыки.

Обновление от 3 декабря 2018: 
Файлы: bill.exe, Bill_Details.docx.exe
URL: lucifer9706.5gbfree.com (209.90.88.135:80 США)
xxxx://lucifer9706.5gbfree.com/hma_vpn_crecked.exe***
xxxx://maxclassic.5gbfree.com/fu/negud.exe***
xxxx://newew.whatisthis988.5gbfree.com/new.zip***
xxxx://paypalload.5gbfree.com/***
xxxx://bankofamerlca.ga/***
Результаты анализов: HA

Обновление от 27 декабря 2017:
Пост в Твиттере >>
Tor-URL: xxxp://j3t2jilixktibqof.onion
Email: blackpanda007@torbox3uiot6wchz.onion
Содержание текста: 
Your Data Have Been Encrpyted. 
If You Need Your Data Back You Need To 
Pay Us $300 Dollar
Contect: torbox3uiot6wchz.onion create a account here and email us blackpanda007@torbox3uiot6wchz.onion
Your Data Is Safe When You Pay Us We Will Give You Key And You Can Unencrpyt Your Data


Скриншот с onion-сайта. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Halloware)
 Write-up, Topic of Support
 *
 Added later:
Write-up on BC
*
 Thanks: 
 Roland Dela Paz‏, dev halloware
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *