Если вы не видите здесь изображений, то используйте VPN.

вторник, 7 ноября 2017 г.

Sigma

Sigma Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в ~300-$1000 в BTC, чтобы вернуть файлы. Оригинальное название: SIGMA RANSOMWARE. На файле написано: Automated Universal MultiBoot UFD Creation Tool.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется случайное расширение .<random>

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ReadMe.txt и ReadMe.html
Sigma Ransomware
TXT-записка о выкупе
Sigma Ransomware
HTML-записка о выкупе

Содержание записки о выкупе:
What has happened to my files ? Why i am seeing this ?
All of your files have been encrypted with RSA 2048 Encryption. Which means, you wont be able to open them or view them properly.   It does NOT mean they are damaged. 
Solution
Well its quite simple only we can decrypt your files because we hold your RSA 2048 private key. So you need to buy the special decryption software and your RSA private key from us if you ever want your files back. Once payment is made, you will be given a decrypter along with your private key , once you run that , All of your files will be unlocked and back to normal.
So there are 2 ways to do this either you wait for a miracle and get your price doubled or follow instructions below carefully and get back your all important files.
Payment procedure
Download a special browser called "TOR browser" and then open the given below link. Steps for the same are - 
1. Go to xxxxs://www.torproject.org/download/download-easy.html.en to download the "TOR Browser". 
2. Click the purple button which says "Download TOR Browser" 
3. Run the downloaded file, and install it. 
4. Once installation is completed, run the TOR browser by clicking the icon on Desktop. 
5. Now click "Connect button", wait a few seconds, and the TOR browser will open. 
6. Copy and paste the below link in the address bar of the TOR browser.
xxxx://yowl2ugopitfzzwb.onion/
Now HIT "Enter"
7. Wait a few seconds, and site will open then enter your GUID mentioned below and process. 
49713BE301EAE5E8DF52649AB3F90768
If you have problems during installation or use of Tor Browser, please, visit Youtube and search for "Install Tor Browser Windows" and you will find a lot of videos.

Перевод записки на русский язык:
Что случилось с моими файлами? Почему я вижу это?
Все ваши файлы были зашифрованы с помощью шифрования RSA 2048. Это значит, что вы не сможете их открыть или правильно просмотреть. Это НЕ значит, что они повреждены.
Решение
Ну, довольно просто, мы можем расшифровать ваши файлы, потому что у нас есть ваш закрытый ключ RSA 2048. Поэтому вам нужно приобрести специальную программу для дешифрования и ваш секретный ключ RSA у нас, если вы когда-то захотите вернуть свои файлы. После того, как вы сделаете платеж, вам будет предоставлен дешифратор вместе с вашим личным ключом, как только вы его запустите, все ваши файлы будут разблокированы и вернутся в нормальное русло.
Таким образом, есть два способа сделать это, либо вы ждёте чуда, и получите удвоенную цену или следуете инструкциям ниже и вернёте все важные файлы.
Порядок оплаты
Загрузите специальный браузер под названием TOR-браузер, а затем откройте приведённую ниже ссылку. Шаги для этого -
1. Перейдите на страницу xxxxs://www.torproject.org/download/download-easy.html.en, чтобы загрузить TOR-браузер.
2. Нажмите фиолетовую кнопку, в которой говорится: «Загрузите TOR-браузер»,
3. Запустите загруженный файл и установите его.
4. После завершения установки запустите TOR-браузер, щелкнув значок на рабочем столе.
5. Теперь нажмите кнопку «Подключить», подождите несколько секунд и откроется TOR-браузер.
6. Скопируйте и вставьте приведенную ниже ссылку в адресную строку TOR-браузера.
хххх://yowl2ugopitfzzwb.onion/
Теперь нажмите "Enter"
7. Подождите несколько секунд, откроется сайт, затем введите свой GUID, упомянутый ниже и примените.
49713BE301EAE5E8DF52649AB3F90768
Если у вас возникли проблемы при установке или использовании TOR-браузера, посетите Youtube и найдите "Install Tor Browser Windows", и вы найдете много видео.

Краткая версия требований о выкупе имеется также на изображении, встающем обоями Рабочего стола. 
Sigma Ransomware
Sigma Ransomware
Обои с разными Tor-адресами

Содержание текста с обоев: 
SIGMA RANSOMWARE
*** ATTENTION ALL YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHERE IMPORTANT FILES HAVE BEEN ENCRYPTED ***
*** PLEASE READ THIS MESSSAGE CAREFULLY IF YOU EVER WAN I YOUR FILES BACK ***
The only way to get back your files to normal is to receive the private key and decryption program
To receive the private key and decryption program we created files with complete instructions inside every folder of your computer as well as in your desktop named *README* please read it and follow
If you somehow can not find any *README* files at your PC, follow the instructions below
Download "Tor Browser" from https://www.torproject.org/ and install it
In the "Tor Browser" open your personal page and enter your id : 49713BE301EAE5E8DF52649AB3F90768
xxxx://6uhryhsrr577vykz.onion/
Attention... this page is available via "Tor Browser only

Перевод текста на русский язык:
SIGMA RANSOMWARE
*** ВНИМАНИЕ ВСЕ ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ ***
*** ПОЖАЛУЙСТА, ПРОЧИТАЙТЕ ЭТО СООБЩЕНИЕ ВНИМАТЕЛЬНО, ЕСЛИ ВЫ ХОТИТЕ ВЕРНУТЬ ВАШИ ФАЙЛЫ ***
Единственный способ вернуть файлы в нормальное состояние - это получить секретный ключ и программу дешифрования
Чтобы получить секретный ключ и программу дешифрования мы создали файлы с подробными инструкциями внутри каждой папки вашего компьютера, а также на вашем рабочем столе с именем *README*, пожалуйста, прочитайте их и следуйте
Если вы каким-то образом не можете найти какие-либо файлы *README* на своем компьютере, следуйте инструкциям ниже
Загрузите Tor Browser с https://www.torproject.org/ и установите его
В Tor Browser откройте свою личную страницу и введите свой id: 49713BE301EAE5E8DF52649AB3F90768
xxxx://6uhryhsrr577vykz.onion/
Внимание ... эта страница доступна только через Tor-браузер




Sigma Ransomware onion-site

Скриншоты с Tor-сайта вымогателей

Содержание текста на Tor-странице:
Sigma Ransomware
Your documents, photos, databases and other important files have been encrypted
Your files were encrypted at Jan 1 1970 4:00 AM
To recover them you need the private key of the key pair used to encrypt them and the decryptor software.
You can buy both of them for $1000.00
Within 7 days you can purchase this product at a special price: ≈ $1000
After 7 days the price of this product will increase up to: ≈ $2000
Final deadline is 09-01-2018 13:34:35 (after that you will loose your important files forever)
    Register a bitcoin wallet.
    Create a Bitcoin Wallet (we recommend Blockchain.info) or other wallets (click here)
    Purchase the required amount of bitcoins.
    There are several ways you can buy bitcoins, you can use bitcoin exchanges (click here), buy directly from people selling near you (click here) or using a bitcoin ATM (click here)
    Send exactly $1000.00 to the address:
    1BLYQx6kMqBGLae1jaAkeS1UYuiLt1SdH6 The confirmation may take several minutes, please be patient.
    Status: payment awaiting...
    This payment request is valid until 17-11-2017 13:34:35 UTC after that it will get double ≈ $2000
In case of any problems with payment or having any other questions, please contact us via LIVE CHAT

Перевод текста на Tor-странице:
Sigma Ransomware
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы
Ваши файлы были зашифрованы 1 января 1970 г. 4:00
Для их восстановления необходим секретный ключ пары ключей, используемый для их шифрования и программа для дешифрования.
Вы можете купить оба из них за $1000 США
В течение 7 дней вы можете приобрести этот продукт по специальной цене: ≈ $1000
После 7 дней цена этого продукта увеличится до: ≈ $2000
Окончательный срок - 09-01-2018 13:34:35 (после этого вы потеряете свои важные файлы навсегда)
    Зарегистрируйте биткоин-кошелек.
    Создайте биткоин-кошелек (мы рекомендуем Blockchain.info) или другие кошельки (нажмите здесь)
    Приобретите нужное количество биткоинов.
    Есть несколько способов купить биткоийны, вы можете использовать биткоин-биржи (нажмите здесь), купите напрямую у людей, которые продают рядом с вами (нажмите здесь) или с помощью биткоин-банкомата (нажмите здесь)
    Отправьте ровно $1000 США по адресу:
    1BLYQx6kMqBGLae1jaAkeS1UYuiLt1SdH6 
Подтверждение может занять несколько минут, пожалуйста, будьте терпеливы.
    Статус: ожидание платежа ...
    Этот платежный запрос действителен до 17-11-2017 13:34:35 UTC после этого удвоится ≈ $2000
В случае возникновения каких-то проблем с оплатой или по любым другим вопросам, пожалуйста, свяжитесь с нами через LIVE CHAT



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
svchost.exe
Automated Universal MultiBoot UFD Creation Tool.exe
ReadMe.txt
ReadMe.html

Расположения:
\Desktop\ReadMe.txt
\Desktop\ReadMe.html
\%AppData%\svchost.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://yowl2ugopitfzzwb.onion/
xxxx://6uhryhsrr577vykz.onion/
xxxx://uh6r7smsyxtsb25w.onion/
BTC: 125tThTYlpqsg98gAgzVFxdjyNnqRFGxGU
BTC: 1BLYQx6kMqBGLae1jaAkeS1UYuiLt1SdH6
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 марта 2018:
Записка: ReadMe.txt и ReadMe.html
Сумма выкупа: $400 в BTC. Через 7 дней - $800 в BTC.
BTC-1: 1BtHjiQHKG2zNdnrPmji7FatUDqWnf3nxb
BTC-2: 16NtitX22osDjtSVMTF5QZ4WaBHoirQHvM
Скриншот txt-записки:
Скриншоты html-записки (две части):

➤ Расширение к заш-файлам не добавляется, вместо это используется маркер файла и то, что кажется зашифрованным ключом в нижней части каждого файла.
URL-IP: xxxx://185.121.139.229/
Tor-URL: xxxx://yowl2ugopitfzzwb.onion.link
Скриншот платежного сайта вымогателей:
 
Два разных примера  начальной страницы сайта

 Страница чата и дешифровки 1 файла, и страница FAQ

➤ Распространяется с помощью email-вложений с вредоносными документами Word и RFT, защищенными с помощью паролей, который следует ввести, чтобы получить информацию о респонденте. 
Письмо с вредоносным вложением

Предложение "Включить содержание"

После нажатия кнопки включения содержимого документа "Enable Content" запускается встроенный VBA-скрипт, который загружает защищенный паролем RAR-файл, распаковывая его в папку Temp, а затем запускает извлеченный файл svchost.exe. Svchost.exe - это исполняемый файл Sigma Ransomware, который будет шифровать файлы. 
Изображение, заменяющее обои Рабочего стола

➤  Связанные файлы:
%UserProfile%\AppData\Roaming\Microsoft\660F187B8C71F670E76F70C7EDAFE4E7\Data\Tor\geoip
%UserProfile%\AppData\Roaming\Microsoft\660F187B8C71F670E76F70C7EDAFE4E7\Data\Tor\geoip6
%UserProfile%\AppData\Roaming\Microsoft\660F187B8C71F670E76F70C7EDAFE4E7\test1.bmp
%UserProfile%\AppData\Roaming\Microsoft\660F187B8C71F670E76F70C7EDAFE4E7\Tor\libeay32.dll
%UserProfile%\AppData\Roaming\Microsoft\660F187B8C71F670E76F70C7EDAFE4E7\Tor\libevent-2-0-5.dll
%UserProfile%\AppData\Roaming\Microsoft\660F187B8C71F670E76F70C7EDAFE4E7\Tor\libevent_core-2-0-5.dll
%UserProfile%\AppData\Roaming\Microsoft\660F187B8C71F670E76F70C7EDAFE4E7\Tor\libevent_extra-2-0-5.dll
%UserProfile%\AppData\Roaming\Microsoft\660F187B8C71F670E76F70C7EDAFE4E7\Tor\libgcc_s_sjlj-1.dll
%UserProfile%\AppData\Roaming\Microsoft\660F187B8C71F670E76F70C7EDAFE4E7\Tor\libssp-0.dll
%UserProfile%\AppData\Roaming\Microsoft\660F187B8C71F670E76F70C7EDAFE4E7\Tor\ssleay32.dll
%UserProfile%\AppData\Roaming\Microsoft\660F187B8C71F670E76F70C7EDAFE4E7\Tor\svchost.exe
%UserProfile%\AppData\Roaming\Microsoft\660F187B8C71F670E76F70C7EDAFE4E7\Tor\tor-gencert.exe
%UserProfile%\AppData\Roaming\Microsoft\660F187B8C71F670E76F70C7EDAFE4E7\Tor\zlib1.dll
%UserProfile%\AppData\Roaming\tor\cached-certs
%UserProfile%\AppData\Roaming\tor\cached-microdesc-consensus
%UserProfile%\AppData\Roaming\tor\cached-microdescs.new
%UserProfile%\AppData\Roaming\tor\lock
%UserProfile%\AppData\Roaming\tor\state
  Ключи реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\chrome Rundll32.exe SHELL32.DLL,ShellExec_RunDLL %UserProfile%\AppData\Roaming\Microsoft\660F187B8C71F670E76F70C7EDAFE4E7\taskwgr.exe -p252589
 Результаты анализов: VT + VT Resume.doc + VT + HA




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Sigma)
 Write-up, Topic of Support, VXvault
 * 
Added later:
Write-up (added on March 15, 2018)
Write-up
 Thanks: 
 Michael Gillespie
 GrujaRS, S!Ri, Andrew Ivanov
 Lawrence Abrams
 Malware Breakdown
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 6 ноября 2017 г.

Ordinypt

Ordinypt Ransomware

HSDFSDCrypt Ransomware

(фейк-шифровальщик, деструктор

Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.12 BTC (600€), чтобы вернуть файлы. Оригинальное название неизвестно. 

Обнаружения: 
DrWeb -> Trojan.MulDrop7.47354
BitDefender -> Trojan.Generic.22609292, Generic.Ransom.Odinypt.9D996ABB
ALYac -> Trojan.Ransom.HSDFSDCrypt
Avira (no cloud) -> TR/Agent.50534
Kaspersky -> Trojan-Ransom.Win32.Ordin.a, Trojan-Ransom.Win32.Ordin.b
Malwarebytes -> Trojan.FakeDoc.FA
Rising -> Trojan.Ransom.Ordinypt!1.***
VBA32 -> TScope.Trojan.Delf
TrendMicro -> Ransom_ORDINYPT.A, Ransom_HSDFSD.A
ESET-NOD32 -> A Variant Of Win32/KillFiles.NIR
Symantec -> SecurityRisk.gen1

© Генеалогия: Ordinypt > последующие варианты > Is (EvaRichter)

Этимология названия:
Оригинальное название неизвестно. Был замечен мьютекс HSDFSD-HFSD-3241-91E7-ASDGSDGHH, начальные знаки которого и послужили основой для названия. Это послужило для первого названия.
Позже немецкие исследователи в своей статье назвали его Ordinypt. Так, от слов "ordinary" (обычный) и "сrypt", появилось второе название. Фактически: это недошифровальщик. 

Этот вымогатель заменяет содержимое файлов случайными сгенерированными символами, состоящими из 14-ти прописных и строчных букв и цифр. 

Название фейк-зашифрованных данных изменяется до неузнаваемости и представляет собой тарабарщину. Теперь уже ясно, что файлы повреждаются безвозвратно. 

Примеры фейк-зашифрованных и реально испорченных файлов: 
54I555CEepVS81
9eQLMv7QL4ru5e
M9uFz970i8lY8o
Примеры пострадавших файлов и записка


Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на немецкоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Wo_sind_meine_Dateien.html

Содержание записки о выкупе:
Ihre Dateien wurden verschlüsselt!
Sehr geehrte Damen und Herren,
Wie Sie mit Sicherheit bereits festgestellt haben, wurden alle Ihre Dateien verschlüsselt.
Wie erhalte ich Zugriff auf meine Dateien?
Um Ihre Dateien erfolgreich zu entschlüsseln, benötigen Sie unsere Spezielle Software und den dazugehörigen Decrypt-Key.
Wo bekomme ich die Software?
Die Entschlüsselungs-Software können Sie bei uns erwerben.
Der Preis für die Entschlüsselungs-Software beläuft sich auf 0.12 Bitcoin (ca. 600 Euro).
Bitte beachten Sie, dass wir ausschließlich Bitcoin für den Erwerb der Software akzeptieren.
Wo bekomme ich Bitcoin?
Bitcoin können Sie Online sowie Offline erwerben, eine Liste empfohlener Anbieter folgt:
https://www.bitcoin.de/de/ - Online
https://localbitcoins.com/ - Online / Offline
https://btcdirect.eu/de-at - Online
https://www.virwox.com - Online
Zahlungsanweisungen
Bitte transferieren Sie exakt 0.12 Bitcoin an folgende Addresse: 19AbncMWfdfifbQfJ8xVNR4s6H8n5eyfCF
Nach erfolgreichem Zahlungseingang erhalten Sie automatisch die Entschlüsselungs-Software sowie den dazugehörigen Decrypt-Key.
ACHTUNG!
Sollten wir innerhalb von 7 Tagen keinen Zahlungseingang feststellen, gehen wir davon aus, dass Sie kein Interesse an der Entschlüsselung Ihrer Dateien haben. In diesem Fall löschen wir den Decrypt-Key unwiderruflich und Ihre Dateien sind für immer verloren.
Ihre Dateien wurden mit einem 256-Bit AES Algorithmus auf Militärqualität verschlüsselt. Wir empfehlen Ihnen keine Zeit mit eigenhändigen Entschlüsselungsversuchen zu verschwenden, dies würde Sie nur unnötig Zeit und weiteres Geld kosten, Ihre Dateien wären aber weiterhin verschlüsselt.
Bonus
Zusätzlich zur Entschlüsselungs-Software erhalten Sie nach erfolgreicher Zahlung, hinweise wie die Schadsoftware auf Ihre System gelangen konnte und wie Sie sich in Zukunft vor weiteren Übergriffen schützen können!

Перевод записки на русский язык:
Ваши файлы были зашифрованы!
Уважаемые дамы и господа,
Как вы уже заметили, все ваши файлы были зашифрованы.
Как получить доступ к моим файлам?
Чтобы успешно расшифровать ваши файлы, вам нужна специальная программа и ключ дешифрования.
Где я могу получить программу?
Программу для дешифрования можно приобрести у нас.
Цена программу для дешифрования составляет 0.12 биткойн (около 600 евро).
Обратите внимание, что мы принимаем за покупку программу только биткоины.
Где я могу получить биткоины?
Биткоины можно купить как в Интернете, так и в автономном режиме. Список рекомендуемых поставщиков:
https://www.bitcoin.de/de/ - онлайн
https://localbitcoins.com/ - онлайн / оффлайн
https://btcdirect.eu/de-at - онлайн
https://www.virwox.com - онлайн
Денежные переводы
Передайте ровно 0.12 биткоина на следующий адрес: 19AbncMWfdfifbQfJ8xVNR4s6H8n5eyfCF
После успешной оплаты вы автоматически получите программу для дешифрования и соответствующий ключ дешифрования.
ВНИМАНИЕ!
Если мы не заметим какой-либо платеж в течение 7 дней, мы предполагаем, что вы не заинтересованы в расшифровке ваших файлов. В этом случае мы безотзывно удалим ключ дешифрования, и ваши файлы будут потеряны навсегда.
Ваши файлы были зашифрованы с использованием алгоритма военного класса AES-256. Мы не рекомендуем тратить время на дешифрование самостоятельно, это будет стоить вам только дополнительное время и деньги, но ваши файлы все равно будут зашифрованы.
Бонус
В дополнение к программе дешифрования после успешной оплаты вы получите инструкции о том, как вредоносное ПО может достичь вашей системы и как вы можете защитить себя от дальнейших атак в будущем!




Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

В спам-письме говорится, что во вложении содержится резюме, посланное в ответ на объявления. Прилагаются два файла: JPG-файл - фотография женщины, якобы отправителя резюме, и ZIP-файл, якобы содержащий резюме и биографические данные.
 
Email с Ordinypt во вложении

Файлы во вложении называются: 
Viktoria Henschel - Bewerbungsunterlagen.zip
Viktoria Henschel - Bewerbungsfoto.jpg

ZIP-архив содержит два EXE-файла, замаскированных под PDF-файлы:
Viktoria Henschel- Bewerbung - November.pdf.exe
Viktoria Henschel - Lebenslauf - November.pdf.exe

Содержание письма на немецком:
Betreff: Bewerbung – Viktoria Henschel
Absender: Viktoria Henschel (v.henschel@t-online.de)
Sehr geehrte Damen und Herren,
anbei erhalten Sie meine Bewerbung für Ihre bei der Arbeitsagentur
ausgeschriebene Stelle. Warum ich die Stelle optimal ausfüllen kann und
Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann.
Mit freundlichen Grüßen,
Viktoria Henschel

Перевод на русский:
Тема: Заявка - Виктория Хеншель
Отправитель: Виктория Хеншель (v.henschel@t-online.de)
Уважаемые дамы и господа,
Во вложении вы получите мое заявление в ваше агентство по трудоустройству в Агентстве занятостиПожалуйста, ознакомьтесь с моими подробными и прилагаемыми документами во вложений, чтобы я могла оптимально занять вакантную должность и мой опыт пригодился для вашей компании.
Я буду рада, если смогу вам пригодиться.
С наилучшими пожеланиями,
Виктория Хеншель


По поводу якобы шифруемых файлов...
Размер файлов в папке до и после фейк-шифрования говорит о том, что файлы намеренно и безвозвратно уничтожаются. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся фейк-шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии (кроме PNG-файлов), музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Wo_sind_meine_Dateien.html
<random>.exe
Viktoria Henschel - Bewerbungsunterlagen.zip{два exe-файла}
Viktoria Henschel - Bewerbungsfoto.jpg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 19AbncMWfdfifbQfJ8xVNR4s6H8n5eyfCF
17WRwznvpRVQFH2bzzHyzqy1UA1y94PkGF
12wDTgzBUdFyVqpDKkiBpPAAZ6vfpVcRZk
и еще множество из списка ниже. 

Шифровальщик использует JavaScript для выбора случайного биткоин-адреса из списка 101-го из жёстко закодированных BTC-кошельков.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT >>
VirusTotal анализ Email >>
Другой анализ >>

Степень распространённости: средний.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 13 сентября 2019:
Отдельная статья Is (EvaRichter) Ransomware >>
Обнаружения этого варианта:
DrWeb -> Trojan.Encoder.29521
BitDefender -> Trojan.GenericKD.32440367
Symantec -> Trojan.Gen.MBT
Avira (no cloud) -> TR/AD.MalwareCrypter.lxp
Kaspersky -> Trojan.Win32.Yakes.zanc
Tencent -> Win32.Trojan.Raas.Auto

Обновление от 5 ноября 2019:
Пост в Твиттере >>
Расширение: .liYEa
Записка: liYEa_howto_decrypt.txt
Мьютекс: sausebabsal
Файл: Skull Retaining.exe
Результаты анализов: VT
Обнаружения этого варианта: 
DrWeb -> Trojan.Encoder.30004
BitDefender -> Trojan.GenericKD.41983077
ALYac -> Trojan.Ransom.Ordinypt
Avira (no cloud) -> TR/AD.Ordinypt.lyfhd
TrendMicro -> TROJ_GEN.R002C0PK619

Обновление от 5 ноября 2019:
Пост в Твиттере >>
Расширение: .Lnln5
Записки: Lnln5_howto_decrypt.txt
Email: - 
Tor-URL: xxxx://2u6gynsdszbd7ey3.onion/
Результаты анализов: VT + AR

Обновление от 7 ноября 2019:
Пост в Твиттере >>
Расширение: .sr0yz
Записка: sr0yz_howto_decrypt.txt
Результаты анализов: VT➤ Содержание записки: 
============================ HELLO THERE ============================
============== DONT DELETE THIS FILE UNTIL ALL OF YOUR DATA HAS BEEN RESTORED! ==============
All of your important documents are encrypted and have been changed to the file extension: .sr0yz
You may only recover your files by buying our decrypter software!
For instructions how to decrypt your files, please download the TOR Browser
========================================================
1. Download Tor Browser from: https://www.torproject.org
2. Install and open TOR Browser
3. Navigate to the following url: http://2u6gynsdszbd7ey3.onion/
4. Enter your access code
Your access code:
***
Copy & Paste it into the access code field
========================================================
Warning:
DO NOT MODIFY ANY OF THE ENCRYPTED FILES OR TRY OTHERWISE TO DECRYPT THEM YOURSELF
YOU RISK DAMAGING THE FILES AND YOU WILL LOOSE YOUR FILES FOREVER!





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as HSDFSDCrypt)
 Write-up, Topic of Support
 🎥 Video review 
Added later:
Write-up by G DATA. Добавлено 7 ноября 2017.
Write-up on BC. Добавлено 9 ноября 2017.
Write-up on Vorsicht E-Mail. Добавлено 9 ноября 2017.

 Thanks: 
  Michael Gillespie, MalwareHunterTeam, Karsten Hahn
  GrujaRS, Andrew Ivanov (article author)

© Amigo-A (Andrew Ivanov): All blog articles.


суббота, 4 ноября 2017 г.

Waffle

Waffle Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 50$ в BTC, чтобы вернуть файлы. Оригинальное название: Waffle Ransomware. На файле написано: Waffle.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .waffle

Активность этого крипто-вымогателя пришлась на начало ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Hello you have been infected by Waffle Ransomware
This is not a joke if you shut off your PC your files will be deleted. You must pay 50$ USD bitcoin and you will recieve a key and your files will be unencrypted. 
Our bitcoin address is:158mxePDNmy2nuf44XXadd7rW5WxePAWGX
You have 24 hours.

Перевод записки на русский язык:
Это не шутка, если вы отключите свой компьютер, ваши файлы будут удалены. Вы должны заплатить 50 долларов в биткоинах, и вы получите ключ, и ваши файлы станут незашифроваными. 
Наш биткоин-адрес: 158mxePDNmy2nuf44XXadd7rW5WxePAWGX
У вас есть 24 часа.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Waffle.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 158mxePDNmy2nuf44XXadd7rW5WxePAWGX
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Waffle)
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *