Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: Styx Ransomware (написано в записке о выкупе). На файле написано: STX.exe, STX1.2.exe или что попало.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записки с требованием выкупа называются: 0_HELP_DECRYPT_FILES.txt 0_HELP_DECRYPT_FILES2.txt 0_HELP_DECRYPT_FILES.html 0_HELP_DECRYPT_FILES2.html
Текстовый вариант записки о выкупе
Содержание текстовой записки о выкупе: Attention! All of your files have been encrypted by Styx Ransomware! ----Not your language? USE: https://translate.google.com/---- -------------------------------------------------------------------------------------- All of your files (photos, videos, documents, etc) are encrypted using AES-256 bit encryption https://en.wikipedia.org/wiki/Advanced_Encryption_Standard Decrypting of your files is only possible with the private key and a decrypt program which is on our secret server. Decryption of your files will cost you $300 Dollars worth of Bitcoin Your files will be lost at 12/20/2017 7:12:35 PM, when this date has been passed your files are lost forever. Please follow these instructions: 1. You can make a payment with Bitcoin, there are many methods to get them. 2. Register a bitcoin wallet or login to one if you already have one, if you don't we recommend http://blockchain.info 3. Purchasing Bitcoins, altought it's not yet easy to buy bitcoins, it's getting simpler every day Here are our recommendations: https://localbitcoins.com/ International https://blockchain.info https://coincafe.com https://buy.bitcoin.com/ 4. Send 300$ dollars worth of Bitcoins to the address specified below. After sending bitcoins send email to styxsupport@mail2tor.com with your Personal Identifier and your Bitcoin transaction ID We will send you the decryption key and program after the payment has been confirmed -------------------------------------------------------------------------------------- YOUR PERSONAL Identifier: [redacted hex] Bitcoin Address: 15mA1ea42KSRpjYDiEJYjrHCjjMp3Cq3SG Bitcoin Amount: 300$ dollars worth of Bitcoins -------------------------------------------------------------------------------------- 5. After your payment has been confirmed, you will receive your decryption program and key in 1 hour to email address that was used in Step 4.
Перевод записки на русский язык: Внимание! Все ваши файлы были зашифрованы Styx Ransomware! ---- Не ваш язык? ИСПОЛЬЗУЙТЕ: https://translate.google.com/---- -------------------------------------------------- ------------------------------------ Все ваши файлы (фото, видео, документы и т.д.) зашифрованы AES-256 бит шифрованием https://en.wikipedia.org/wiki/Advanced_Encryption_Standard Расшифровка ваших файлов возможна только с закрытым ключом и программой расшифровки, которая есть на нашем секретном сервере. Расшифровка ваших файлов обойдется вам в 300 долларов в биткоинах Ваши файлы будут утеряны в 12/20/2017 7:12:35 PM, когда эта дата истечет, ваши файлы будут потеряны навсегда. Следуйте этим инструкциям: 1. Вы можете заплатить биткоины, есть много способов их получить. 2. Зарегистрируйте биткоин-кошелек или войдите в систему, если у вас он уже есть, если вы этого не делали, рекомендуем http://blockchain.info 3. Приобретение биткоинов, считалось, что покупать биткоины нелегко, становится все проще каждый день Вот наши рекомендации: https://localbitcoins.com/ международный https://blockchain.info https://coincafe.com https://buy.bitcoin.com/ 4. Отправьте биткоины на сумму 300 долларов по ниже адресу. После отправки биткоинов пришлите email по адресу styxsupport@mail2tor.com с вашим личным идентификатором и вашим ID транзакции биткоинов Мы отправим вам ключ и программу дешифрования после подтверждения оплаты. -------------------------------------------------- ------------------------------------ ВАШ ЛИЧНЫЙ Идентификатор: [отредатировано] Биткоин-адрес: 15mA1ea42KSRpjYDiEJYjrHCjjMp3Cq3SG Биткоин-сумма: биткойны на сумму в 300 долларов -------------------------------------------------- ------------------------------------ 5. После подтверждения оплаты вы получите свою программу дешифрования и ключ за 1 час на email-адрес, который использовался в шаге 4.
Варианты HTML-записок (реконструкция)
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. !!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: .123, .602, .asm, .CSV, .dif, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .hwp, .mml, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .pdf, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .RTF, .rtf, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .sxc, .sxd, .sxi, .sxm, .sxw, .txt, .uop, .uot, .wb2, .wk1, .wks, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml (64 расширения) Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: STX.exe STX1.2.exe Они же под именами: FacebookHackerTool V4.7.exe, Reloder Activator.exe, Application.exe Расположения: \Desktop\ -> \User_folders\ -> Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Email: styxsupport@mail2tor.com BTC: 15mA1ea42KSRpjYDiEJYjrHCjjMp3Cq3SGСм. ниже результаты анализов. Результаты анализов: HA - Гибридный анализ - Nov 25 >> HA - Гибридный анализ - Dec 13 >> VT - VirusTotal анализ - Nov 22 >> VT - VirusTotal анализ - Nov 25 >> VT - VirusTotal анализ - Nov 26 >> VT - VirusTotal анализ - Dec 2 >> VT - VirusTotal анализ - Dec 7 >> VB - VirusBuy анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CrY (указано в записке). На файле написано: CrY и TrOwX 2017. Разработчик: ismail.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. !!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: CrY.exe READ_AND_CRY_.txt Расположения: \Desktop\READ_AND_CRY_.txt \Desktop\ -> \User_folders\ -> Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Email: kaya.kyasor99@yandex.com См. ниже результаты анализов. Результаты анализов: Гибридный анализ >> VirusTotal анализ >> + VT >> Другой анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter
ID Ransomware
Write-up, Topic of Support
*
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов и публичного софта. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. !!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Выполняет деструктивные команды: sc stop VVS sc stop wscsvc sc stop WinDefend sc stop wuauserv sc stop BITS sc stop ERSvc sc stop WerSvc cmd.exe /C bcdedit /set {default} recoveryenabled No cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: _HELP_INSTRUCTION.TXT <random>.exe BC2D64A077.exe Расположения: C:\ProgramData\<random>.exe %USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT \Desktop\ -> \User_folders\ ->
Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: worknow@keemail.me worknow@protonmail.com worknow8@yandex.com worknow9@yandex.com worknow@techie.com См. ниже результаты анализов. Результаты анализов: Гибридный анализ >> VirusTotal анализ >> Другой анализ >> Степень распространённости: низкая или средняя. Подробные сведения собираются регулярно.
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1.0 BTC, чтобы вернуть файлы. Оригинальное название: CRYPTER (указано в окне программы). Написан на Python. Утверждается, что разработан для академических и исследовательских целей. Создается при помощи Ransomware-генератора.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе: CRYPTER YOUR FILES HAVE BEEN ENCRYPTED! Los archivos más importantes de este equipo han sido cifrados con un sistema de grado militar (AES-256) Sus documentos, videos, imágenes y otros formatos (y por supuesto la FLAG) están fuera de su alcance... Y no podrá descifrarlos sin la llave apropiada... Esta se encuentra almacenada en un servidor remoto. Las únicas formas de obtenerla, será pagando a la billetera antes que el tiempo se acabe.. También puede vulnerar el servidor remoto¿?... O encontrar alguna falla en este sistema de cifrado¿?... --- Recuerde que este reto es únicamente con fines académicos e investigativos... No pierda tiempo... Pues una vez termine la cuenta regresiva, los archivos serán eliminados de forma permanente --- @4v4t4r WALLET ADDRESS: nobliswallet99838399283928392323 BITCOIN FEE: 1.0 Перевод записки на русский язык: CRYPTER ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! Важные файлы этого компьютера зашифрованы шифрованием военного класса (AES-256) Ваши документы, видео, изображения и другие форматы (и, конечно же, FLAG) недоступны ... И вы не сможете расшифровать их без правильного ключа ... Он находится на удаленном сервере. Единственный способ получить его - заплатить на кошелек до истечения времени. Может ли он также нарушить удаленный сервер? ... Можно ли найти недостатки в этой системе шифрования? ... --- Помните, что этот выкуп предназначен только для академических и исследовательских целей ... Не тратьте время ... Ну, как только обратный отсчет закончится, файлы будут окончательно удалены --- @4v4t4r АДРЕС КОШЕЛЬКА: nobliswallet99838399283928392323 БИТКОИН ПЛАТА: 1.0
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. !!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: .doc, .docx, .jpg, .mp3, .msi, .pdf, .tar.gz, .tsx, .txt, .zip (10 расширений). Это документы Word, PDF, текстовые файлы, фотографии, музыка, архивы и пр. Файлы, связанные с этим Ransomware: nobles.exe encrypted_files.txt key.txt и другие файлы
Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Noblis Ransomware - 12 декабря 2017 Cyclone Ransomware - 15 декабря 2017 Обновление от 30 октября 2019: Сообщение >> Расширение: .sorryforthis BTC: 12mdKVNfAhLbRDLtRWQFhQgydgU6bUMjay Сумма выкупа: 0.08134 Результаты анализов: VT
Обновление от 6 апреля 2020: Сообщение >> Видеообзор >> Самоназвание: Black orchid Team Расширение: .shinya Telegram: @shinya_dono http://t.me/lucifer_ayr47 http://t.me/HeadNaughty Результаты анализов: VT + VMR
Обновление от 12 апреля 2020: Сообщение >> Расширение: .nebula Email: resolutionransomware@protonmail.com Telegram: @Jorkey Другие файлы: key.txt Результаты анализов: VT + AR
➤ Содержание текста в окне экрана (часть текста): [+]RUS =========================== Привет! Ваши важные файлы были зашифрованы! Единственный способ расшифровать ваши файлы - это получить закрытый ключ и программу расшифровки. Не трать зря свое время. Никто не может восстановить их без нашей службы дешифровки. Оплата должна быть произведена в биткоинах с использованием уникального кода, который мы сгенерировали для вас! Все попытки расшифровать информацию самостоятельно приведут лишь к безвозвратной потере ваших данных. Отправьте этот код по email или telegram: 1А191*** Связаться с нами: Email: resolutionransomware@protonmail.com Telegram: @Jorkey =========================== [+]ENG| *** Обновление от 26 августа 2020: Сообщение >> Расширение: .locked BTC:12mdKVNfAhLbRDLtRWQFhQgydgU6bUMjay Результаты анализов: VT + VMR
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 (режим CFB) + RSA-2048 для шифрования ID ключей. Затем требует выкуп в 0.00725 BTC (сумма может отличаться), чтобы вернуть файлы. Оригинальное название проекта: Spider Form, RnJRHo.pdb, YpnZR.pdb. В окне программы написано: File Spider. В тексте о выкупе написано: FILE SPIDER VIRUS. В ресурсах картинка паука называется: Halloween_Spider. 🎥 Для вас подготовлен видео-обзор этого Ransomware, см. его по ссылке.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей (требования о выкупе) и пользователей, понимающих сербско-хорватский язык, а его знают все народы бывшей Югославии (документ Word). Такое не мешает распространять его по всему миру. Атака ориентирована на Республику Сербскую, входящую в состав Боснии и Герцеговины и, вероятно, соседние страны.
Скриншоты и требования
Записка с требованием выкупа называется: HOW TO DECRYPT FILES.url Она не содержит текст, а лишь запускает браузер, используемый по умолчанию, чтобы показать видео-инструкцию, как уплатить выкуп в биткоинах. Подробным информатором выступает экран программы вымогателя, сделанный в графическом интерфейсном виде (GUI).
Для ознакомления покажем скриншоты четырёх основных экранов.
Start Page
Translate
Visit Website
ID Code
Decrypter
Содержание текста о выкупе из этих экранов: YOUR PC HAS BEEN INFECTED WITH FILE SPIDER VIRUS As you may have already noticed, all your important files are encrypted and you no longer have access to them. A unique key has been generated specifically for this PC and two very strong encryption algorithm was applied in that process. Original content of your files are wiped and overwritten with encrypted data so it cannot be recovered using any conventional data recovery tool. The good news is that there is still a chance to recover your files, you just need to have the right key. To obtain the key, visit our website from the menu above. You have to be fast, after 96 hours the key will be blocked and all your files will remain permanently encrypted since no one will be able to recover them without the key! Remember, do not try anything stupid, the program has several security measures to delete all your files and cause the damage to your PC. To avoid any misunderstanding, please read Help section. --- YOUR PC HAS BEEN INFECTED WITH FILE SPIDER VIRUS Translate English Deutsch --- THIS WILL DECRYPT YOUR FILES To visit our website you need to install a special web browser named Tor Browser. Be aware, our website is reachable only via Tor Browser and if you try to visit it using any other browser eg. Google Chrome, it wont work! Tor Browser can be downloaded from its official website listed below. Use newly installed browser to visit our website address. On our website there is a online tool that can generate decryption key using your ID Code, use that tool and you will get the key needed to decrypt your files. Also, you will be asked to make a payment for your Decryption Key, you will need a Bitcoins for that. More about bitcoins read in Help section. After you get your key, select Decrypter from menu and follow the instructions provided on that page. This all may seem complicated to you, actually it's really easy. A link to Video Tutorial with live demonstration can be found inside Help Section. Good Luck! Our Website Address: [xxxx://spiderwjzbmsmu7y.onion/] Download Tor Browser
--- THIS WILL DECRYPT YOUR FILES During encryption process a unique key has been generated, used to encrypt your files, and then destoyed. To decrypt your files you need that key. We call that key a Decryption Key. You can not use the key from other PC, it wont work, you need a key coresponding to your PC. Your Decryption Key, required for decryption process, can be generated only from something that we call a ID Code, you will find that code below. This is your ID Code, copy it carefully. rzJisxRs70t/ILa9B61QymFqJSCgYQX5PbAgjifyMvt+X9Fc2e +DiccqQ7SHenxtrz36svalTLAOUR79Jdp4ngajRCFP3tkIGY8xOJzo2De2MUzVNEJRb8QRsHnp +32wjtL4lCjvSK/VAWslKeLllRBKelbWNchOHvTj7wJy8PTBl69I6FoHJkCXAglogFtFLR +aIZxZU6Ew9VDumVEE90CspuhnFnr9pKzuVl64qya8pR53GaBpYRLPZhPjlgkgPZID4dCv4diMo2SzJ byy4GmKwEuFhRDyQj8K346KGLAEJ5UB2ousV2xQ4EPtSEsPqSYm+MtHGXCEA9sp0vzTaQ== --- THIS WILL DECRYPT YOUR FILES Enter your Decryption Key and click Start Decrypting, seat back and relax, in few minutes you will have full access to all your files! Decryption Key: [ ... ] 0 Files decrypted. [Start Decrypting]
Перевод текста на русский язык: ВАШ КОМПЬЮТЕР БЫЛ ЗАРАЖЕН ВИРУСОМ FILE SPIDER Как вы, возможно, уже заметили, все ваши важные файлы зашифрованы, и у вас больше нет доступа к ним. Уникальный ключ был создан специально для этого ПК, и в этом процессе был применен два очень сильных алгоритма шифрования. Исходное содержимое ваших файлов стирается и перезаписывается зашифрованными данными, поэтому его невозможно восстановить с помощью обычного инструмента восстановления данных. Хорошей новостью является то, что ещё есть шанс восстановить ваши файлы, вам просто нужно иметь правильный ключ. Чтобы получить ключ, посетите наш веб-сайт из меню выше. Вы должны торопиться, через 96 часов ключ будет заблокирован, и все ваши файлы останутся зашифрованными, т.к. никто не сможет восстановить их без ключа! Помните, не делайте ничего глупого, программа имеет несколько мер безопасности, чтобы удалить все ваши файлы и повредить вашему компьютеру. Чтобы избежать недоразумений, ознакомьтесь с разделом «Справка». --- ВАШ КОМПЬЮТЕР БЫЛ ЗАРАЖЕН ВИРУСОМ FILE SPIDER Перевод Английский Немецкий --- ЭТО РАСШИФРУЕТ ВАШИ ФАЙЛЫ Чтобы посетить наш сайт, вам надо установить специальный веб-браузер по имени Tor Browser. Помните, что наш сайт доступен только через Tor Browser, и если вы попытаетесь посетить его, используя любой другой браузер, например, Google Chrome, он не откроется! Tor Browser можно загрузить с официального сайта, указанного ниже. Используйте новый установленный браузер, чтобы посетить наш веб-сайт. На нашем веб-сайте есть онлайн-инструмент, который может генерировать ключ дешифрования с помощью вашего ID кода, используйте этот инструмент, и вы получите ключ, нужный для расшифровки ваших файлов. Кроме того, вас попросят внести платеж за ваш ключ дешифрования, для этого вам нужны биткоины. Подробнее о биткоинах читайте в разделе справки. После того, как вы получите свой ключ, выберите "Decrypter" в меню и следуйте инструкциям на этой странице. Все это может показаться вам сложным, на самом деле это очень просто. Ссылка на видео-учебник с демонстрацией можно найти в разделе справки. Удачи! Адрес нашего веб-сайта: [xxxx://spiderwjzbmsmu7y.onion/] Скачать Tor Browser --- ЭТО РАСШИФРУЕТ ВАШИ ФАЙЛЫ В процессе шифрования был создан уникальный ключ, использованный для шифрования ваших файлов, а затем уничтоженный. Чтобы расшифровать ваши файлы, вам нужен этот ключ. Мы называем этот ключ ключом дешифрования. Вы не сможете использовать ключ с другого ПК, он не будет работать, вам нужен ключ, соответствующий вашему ПК. Ваш ключ дешифрования, нужный для процесса дешифрования, может генерироваться только из того, что мы называем ID кодом, вы найдете этот код ниже. Это ваш ID код, аккуратно скопируйте его. rzJisxRs70t/ILa9B61QymFqJSCgYQX5PbAgjifyMvt+X9Fc2e +DiccqQ7SHenxtrz36svalTLAOUR79Jdp4ngajRCFP3tkIGY8xOJzo2De2MUzVNEJRb8QRsHnp +32wjtL4lCjvSK/VAWslKeLllRBKelbWNchOHvTj7wJy8PTBl69I6FoHJkCXAglogFtFLR +aIZxZU6Ew9VDumVEE90CspuhnFnr9pKzuVl64qya8pR53GaBpYRLPZhPjlgkgPZID4dCv4diMo2SzJ byy4GmKwEuFhRDyQj8K346KGLAEJ5UB2ousV2xQ4EPtSEsPqSYm+MtHGXCEA9sp0vzTaQ== --- ЭТО РАСШИФРУЕТ ВАШИ ФАЙЛЫ Введите свой ключ дешифрования и нажмите "Start Decrypting", откиньтесь назад и расслабьтесь, через несколько минут у вас будет полный доступ ко всем вашим файлам! Ключ дешифрования: [...] 0 Файлы дешифрованы. [Start Decrypting]
Некоторые скриншоты раздела "Help"
Подробнее о разделе "Help" см. на прилагаемом видеоролике.
Сайт вымогателей
Страница Tor-сайта "Spider Decrypter" сделана более изысканно.
Требуется лишь ввести PC ID, полученный в программе. После этого действия откроется следующая информация.
Технические детали
Распространяется с помощью email-спама и вредоносных вложений (документ Word с макросами), обманных загрузок, эксплойтов. Может также начать распространяться с помощью взлома через незащищенную конфигурацию RDP,веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. !!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Во вложении к email-письму находится файл BAYER_CROPSCIENCE_OFFICE_BEOGRAD_93876.doc в шаблоне Normal.dotm (с макросами), написанный на сербско-хорватском языке. Возможны и варианты документов с другими названиями.
Первый образец документа
Второй образец документа (заголовок другой, а текст тот же)
Содержание документов: PRIVATNI IZVRŠITELJ AZELjKOVIĆ IVAN Posl.br 106/17 Banja Luka 78000, Bosna I Hercegovina NAZIV KOME SE SALJE 16253/2017-51 Banja Luka 8.12.2017 O B A V J E š T E Nj E: UTVRĐUJU SE troškovi izvršnog postupka nastali pred izvršiteljem u iznosu od 864,98 KM. ODREĐUJE SE SPROVOĐENjE IZVRŠENjA ODREĐENOG rješenjem o izvršenju Okružnog privrednog suda u Banjaluci I.I-171/2017 od 01.04.2017. godine, prijenosom sredstava u iznosu od: - 860,00 KM, sa zakonskom zateznom kamatom počev od 21.04.2015. godine pa do konačne isplate, - 100,00 KM na ime troškova izvršenja nastalih pred sudom, - 63,44 KM na ime troškova parničnog postupka, - 864,98 KM na ime troškova izvršnog postupka utvrđenih ovim zaključkom, i to sa: svih računa dužnika u smislu člana 185, ZIO, na namjenski račun izvršitelja br. 565-501-08053684-17 sa pozivom na broj predmeta 763/2015 koji se vodi kod “Raiffeisen BANK” Bosna i Hercegovina. NALAŽE SE Centralnoj banci Bosne I Hercegovine - Odsijek za prinudnu naplatu - Odsjek za prijem, kontrolu i unos osnova i naloga Banja Luka, da prenese sredstva iz stava 2. ovog zaključka sa računa izvršnog dužnika na namjenski račun izvršitelja br. 565-501-08053684-17 sa pozivom na broj predmeta 763/2015 koji se vodi kod “Raiffeisen BANK” Bosna i Hercegovina. N A P O M E N A: DOKUMENT “KOPIJA PREDMETA” sadrži private informacije i stoga je postavljen u zaštitnoj formi. Za pregledanje zaštićenog dokumenta koristite “Microsoft Word” program. Sadržaj omogućite kliktom na Enable Editing a zatim na Enable Content na komandnoj traci.
В самом сообщении сообщается, что у получателя имеется долг в местном банке (используются имена реальных местных банков). Требуется сбор долгов на основании решения "Окружного коммерческого суда в Баня-Луке" (Okružnog privrednog suda u Banjaluci) и от пользователей заявки на выплату определённой суммы на счёт в "Райффайзен Банк - Босния и Герцеговина" (Raiffeisen Bank – Bosna i Hercegovina).
Все известные на данный момент варианты вредоносных писем подписал якобы "Частный исполнитель Азелькович Иван" (Privatni izvršitelj Azeljković Ivan).
Установка и запуск вредоносов
- После разрешения макросов в документе запускается Powershell (файл powershell.exe), который помещает в созданную директорию %APPDATA%\Spider\ созданный файл enc.exe Powershell -> %APPDATA%\Spider\enc.exe (67d5abda3be629b820341d1baad668e3) -> %ALLUSERSPROFILE%\Microsoft\Assistance\Client\1.0\en-US\HOW TO DECRYPT FILES.url (7608c95d94d307d08d75c27d034325b5) - Далее, используя WebClient, соединяется с URL-адресом yourjavascript.com (80.241.212.33:80, Германия) - бесплатный сервис для размещения JavaScript и загружает оттуда размещенный JS-файл. Скрипт запускает на выполнение файлы enc.exe и dec.exe, чтобы шифровать файлы и по окончании затребовать выкуп. - Вредонос завершает работу следующих процессов: "taskmgr", "procexp", "msconfig", "Starter", "regedit", "cdclt", "cmd", "OUTLOOK", "WINWORD", "EXCEL", "MSACCESS"
- В каждой папке с зашифрованными файлами оставляется записка о выкупе HOW TO DECRYPT FILES.url (веб-ярлык), которая ведёт на видеоролик по адресу xxxxs://vid.me/embedded/CGyDc?autoplay=1&stats=1 - На рабочем столе создаётся еще один ярлык DECRYPTER.url, который запускает файл dec.exe. - По окончании шифрования шифровальщик (файл enc.exe) создаёт файл 5p1d3r по адресу %UserProfile%\AppData\Roaming\Spider\ и завершает свою работу. Когда программа dec.exe обнаруживает файл 5p1d3r, то запускает графический интерфейс дешифровщика, представленный в начале статьи.
Файлы, связанные с этим Ransomware: enc.exe (YpnZR.exe) - шифровальщик; dec.exe (RnJRHo.exe) - GUI и дешифровщик; javascript-enc-1-0-9.js - скрипт-загрузчик для enc.exe; javascript-dec-2-25-2.js - скрипт-загрузчик для dec.exe; HOW TO DECRYPT FILES.url - ярлык веб-ссылки на видеоролик; DECRYPTER.url - ярлык для загрузки и запуска дешифратора; BAYER_CROPSCIENCE_OFFICE_BEOGRAD_93876.doc - первый образец вложения; CUMMINS_SERBOMONTE_DOO_72225.doc - второй образец вложения; ~WRS{8268EA6A-97ED-4FEE-840C-BC558C148C9C}.tmp - временный файл документа WORD; run.bat files.txt - содержитсписок зашифрованных файлов; id.txt - содержит зашифрованный ID. 5p1d3r - специальный файл, создаваемый файлом enc.exe по окончании шифрования.
Содержание файла files.txt
Расположения: %APPDATA%\Spider\enc.exe %APPDATA%\Spider\dec.exe %ALLUSERSPROFILE%\Microsoft\Assistance\Client\1.0\en-US\HOW TO DECRYPT FILES.url %APPDATA%\Spider\files.txt %APPDATA%\Spider\id.txt %APPDATA%\Spider\run.bat %APPDATA%\Microsoft\Office\Recent\index.dat %TEMP%\~DF085EF2097DAA4C14.TMP - временный файл WINWORD.EXE \Desktop\ -> HOW TO DECRYPT FILES.url \Desktop\ -> DECRYPTER.url \Desktop\ -> VIRUS.lnk и другие \User_folders\ -> HOW TO DECRYPT FILES.url %UserProfile%\AppData\Roaming\Spider\5p1d3r
Обновление от 11 декабря 2017: Вредоносной кампанией, распространяющей данный шифровальщик, были затронуты и соседние страны.
Письма с email-спам на скриншоте и с таким же вредоносным документом распространялись также в Сербии (Большой Сербии). Вложение на скриншотах называется: MEDIS_PHARMA_DOO_17443.doc Скриншоты были представлены в статье Лоуренса Абрамса.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===