Если вы не видите здесь изображений, то используйте VPN.

среда, 7 февраля 2018 г.

DCRTR

DCRTR Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + SHA + RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. 

© Генеалогия: DCRTR > DCRTR-WDM

К зашифрованным файлам добавляется расширение .dcrtr
Фактически используется составное расширение .[decryptor@cock.li].dcrtr
Шаблон составного расширения можно записать так: .[<email>].dcrtr


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец января - начало февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В начале февраля был замечен на русскоязычных форумах.

Записка с требованием выкупа называется: ReadMe_Decryptor.txt 
DCRTR Ransomware note

Содержание записки о выкупе:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail decryptor@cock.li
In case of no answer in 24 hours write us to theese e-mails: masterdecrypt@openmailbox.org
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
xxxxs://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
xxxx://www.coindesk.com/information/how-can-i-buy-bitcoins/

Перевод записки на русский язык:
Все ваши файлы зашифрованы из-за проблемы с безопасностью на вашем ПК. Если хотите их восстановить, пишите нам на email decryptor@cock.li
В случае, если нет ответа 24 часа, пишите нам на этот email: masterdecrypt@openmailbox.org
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, как быстро вы напишете нам. После оплаты мы отправим вам декриптор, который дешифрует все ваши файлы.
Бесплатное дешифрование как гарантия
До оплаты можно прислать нам до 5 файлов для бесплатного дешифрования. Общий размер файлов должен быть меньше 10 Мб (не архив), а файлы не должны содержать ценную информацию. (базы данных, бэкапы, большие листы Excel и т.д.)
Как получить биткоины
Самый простой способ купить биткоины - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
xxxxs://localbitcoins.com/buy_bitcoins
Также можно найти другие места для покупки биткоинов и руководство для новичков здесь:
xxxx://www.coindesk.com/information/how-can-i-buy-bitcoins/

Сравнение:
Записка о выкупе очень похожа на записку LockCrypt Ransomware
Но текст может быть просто заимствован. 



Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Новый ключ для каждого зашифрованного файла.

➤ Есть что-то вроде маркера {LAMA} в конце файлов.

 Выполняет деструктивные действия:
1) останавливает запуск некоторых системых служб: 
 sc.exe sc stop wscsvc
 sc.exe sc stop WinDefend
 sc.exe sc stop wuauserv
 sc.exe sc stop BITS
 sc.exe sc stop ERSvc
 sc.exe sc stop WerSvc
2) удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
/c bcdedit /set {default} bootstatuspolicy ignoreallfailures
/c bcdedit /set {default} recoveryenabled No
/c vssadmin delete shadows /all /quiet
/c wbadmin delete catalog -quiet
/c wmic shadowcopy delete
3) завершает процессы: 
 taskkill.exe taskkill /f /im MSExchange*
 taskkill.exe taskkill /f /im sqlserver.exe
 taskkill.exe taskkill /f /im Microsoft.Exchange.*
 taskkill.exe taskkill /f /im sqlwriter.exe

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe_Decryptor.txt 
msshost.exe (sc.exe)
<random>.exe - случайное название

Расположения:
%APPDATA%\msshost.exe
\AppData\Roaming\msshost.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: decryptor@cock.li
masterdecrypt@openmailbox.org
См. ниже результаты анализов.

Результаты анализов:
VirusBay образец >>
Гибридный анализ >>
VirusTotal анализ >>  + VT
Intezer анализ >>
Другой анализ (первое упоминание файла записки) >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 4 апреля 2018:
Расширение: .dcrtr
Составное расширение: .[kinaman@protonmail.com].dcrtr
Записка: ReadMe_Decryptor.txt
Email: kinaman@protonmail.com
Пост в Твиттере >>
Топик на форуме >>
Результаты анализов: VT



Обновление от 14 мая 2018:
Расширение: .[castor-troy-restore@protonmail.com]
Записка: ReadMe_Decryptor.txt
Email: castor-troy-restore@protonmail.com
 Содержание записки:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail castor-troy-restore@protonmail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 5 Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
Топик на форуме >>



Обновление от 25 июля 2018:
Пост в Твиттере >> + Пост в Твиттере >>
Расширение: .cryptes
Самоназвание: FileCryptor
Записка: HOW TO DECRYPT ALL MY FILES.txt
Файл: Reglstry.exe
Результаты анализов: VT
Email: dekode@qq.com
Email-reserve: supdecrypt@foxmail.com, supportdecryption@cock.li
➤ Содержание записки: 
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: dekode@qq.com
In case of no answer in 24 hours write us to theese e-mails: supdecrypt@foxmail.com or supportdecryption@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Обновление от 9 августа 2018:
Расширение: .java
Пример составного расширения: .[Billy_will_help_you@protonmail.com].java
Email: Billy_will_help_you@protonmail.com
Записка: ReadMe_Decryptor.txt
Топик на форуме >>


Обновление от 13 августа 2018: 
Расширение: .crypt
Записка-1: HOW TO DECRYPT FILES.txt
Записка-2: info.hta
Email-1: dekode@qq.com
Email-2: supdecrypt@foxmail.com
Email-3: supportdecryption@cock.li
Название проекта: FileCryptor.pdb
Фальш-копирайт: Microsoft Corporation. 
Файльш-имя: Windows Defender Monitor
Результаты анализов: VT
Пример удачной дешифровки файлов >>

Обновление от 18 сентября 2018:
Пост в Твиттере >>
Расширение: .parrot
Шаблон составного расширения: .[<email>].parrot
Пример составного расширения: .[cryptmanager@protonmail.com].parrot
Записка: ReadMe_Decryptor.txt
Файл: Marvel.exe - по классификации Dr.Web - Trojan.Encoder.24474 или похожий. 
Статус: Дешифровка пока незвозможна. 
➤ Содержание записки: 
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail cryptmanager@protonmail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 1 files for free decryption. The total size of files must be less than 500 Kb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)


Обновление от 18 сентября 2018:
Расширение: .java
Шаблон составного расширения: .[<email>].java
Пример составного расширения: .[castor-troy-restore@protonmail.com].java
Email: castor-troy-restore@protonmail.com
Записка: ReadMe_Decryptor.txt
Файл: Marvel.exe
Результаты анализов: VT
➤ Содержание записки: 
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail castor-troy-restore@protonmail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 5 Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Обновление от 4 ноября 2018:
Расширение: .crypt
URL: xxxx://crypt443sgtkyz4l.onion/***
Записка: HOW TO DECRYPT FILES.txt
Отдельная статья: DCRTR-WDM Ransomware


Обновление от 14 ноября 2018:
Пост на форуме >>
Расширение: .java  (это известно с августа 2018)
Пример составного расширения: .[Billy_will_help_you@protonmail.com].java
Записка: ReadMe_Decryptor.txt
Email: Billy_will_help_you@protonmail.com
➤ Содержание записки:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Billy_will_help_you@protonmail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 5 Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)


Обновление от 19 ноября 2018: 
Пост в Твиттере >>
Пост в Твиттере >>
🎥 Видеообзор >>
Расширение: .dcrtr
Пример составного расширения: .[decryptor@cock.li].dcrtr
Записка: ReadMe_Decryptor.txt 
Email: decryptor@cock.li, masterdecrypt@openmailbox.org
Результаты анализов: VT + AR


*** пропуск *** пропуск *** пропуск ***

Обновление от 10 февраля 2020
Дата создания файла: 15 декабря 2018: 
Вероятно промежуточный вариант от DCRTR к Rhino (Marvel) Ransomware >>
Пост в Твиттере >>
Расширение: .parrot
Пример составного расширения: .[cryptonationusa@protonmail.com].parrot
Записка: ReadMe_Decryptor.txt
Email: cryptonationusa@protonmail.com
Файл: Marvel.exe
Результаты анализов: VT + AR + VMR + IA
➤ Содержание записки:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: cryptonationusa@protonmail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 1 files for free decryption. The total size of files must be less than 500 Kb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)


Обновление от 11-19 июня 2020:
Вероятно, это уже 
Rhino Ransomware >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .coka
Пример составного расширения: .[servicemanager@yahooweb.co].coka
Записка: ReadMe_Decryptor.txt
Email: servicemanager@yahooweb.co, servicemanager2020@protonmail.com
Jabber: servicemanager@jabb.im
Маркер файлов: Marvel101






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
В некоторых случаях файлы можно дешифровать!
Составьте запрос в Dr.Web на пробную дешифровку: 
- на русском языке
- на английском языке
Если дешифровка возможна, то вам сообщат подробности. 
➽ Или напишите Emmanuel_ADC-Soft на форум, email, Твиттер. 
 Read to links: 
 Tweet on Twitter + Tweet + Tweet 
 ID Ransomware (ID as Dcrtr)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov, Alex Svirid
 Michael Gillespie, Jakub Kroustek
 Emmanuel_ADC-Soft
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

вторник, 6 февраля 2018 г.

BlackRuby

BlackRuby Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES (режим CBC) + RSA-2048 для ключа шифрования, а затем требует выкуп в $650 в BTC, чтобы вернуть файлы. Оригинальное название: BlackRuby. Фальш-имя: Microsoft Windows Defender. Комментарий: Windows Host 32 Manager UI. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: InfiniteTear (modified) > BlackRuby > BlackRuby-2
Black Ruby
Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение .BlackRuby

Фактически используется шаблон из кода: Encrypted_%random string%.BlackRuby

Примеры зашифрованных файлов: 
Encrypted_zIX2dFXFt9qNfifBu1mqkNVYTX79ZS48TWWU5BRm3Q.BlackRuby
Encrypted_B2RdEa0BRcADdyCzus6ZHwxDiozXLRrXeMPyKAKhwBa7FR.BlackRuby
Encrypted_9Py4jGW0pEM54ZLc5mUXlm8avF4luvHC8UqYtU74VuG3.BlackRuby

Активность этого крипто-вымогателя пришлась на начало февраля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
HOW-TO-DECRYPT-FILES.txt
BlackRuby Ransomware note

Содержание записки о выкупе:
Black Ruby
=== Identification Key ===
[redacted]
=== Identification Key ===
[Can not access your files?]
Congratulations, you are now part of our family #BlackRuby Ransomware. The range of this family is wider and bigger every day.
Our hosts welcome our presence because we will give them a scant souvenir from the heart of Earth.
This time, we are guest with a new souvenir called "Black Ruby". A ruby in black, different, beautiful, and brilliant, which has been bothered to extract those years and you must also endure this hard work to keep it. If you do not have the patience of this difficulty or you hate some of this precious stone, we are willing to receive the price years of mining and finding rubies for your relief and other people of the world who are guests of the black ruby.
So let's talk a little bit with you without a metaphor and literary terms to understand the importance of the subject.
It does not matter if you're a small business or you manage a large organization, no matter whether you are a regular user or a committed employee, it's important that you have a black ruby and to get rid of it, you need to get back to previous situation and we need a next step.
The breadth of this family is not supposed to stop, because we have enough knowledge and you also trust our knowledge.
We are always your backers and guardian of your information at this multi-day banquet and be sure that no one in the world can take it from you except for us who extracts this precious stone.
We need a two-sided cooperation in developing cybersecurity knowledge. The background to this cooperation is a mutual trust, which will result in peace and tranquility, you must pay $650 (USD) worth of Bitcoins for restore your system to the previous state and you are free to choose to stay in this situation or return to the normal.
Do not forget that your opportunity is limited. From these limits you can create golden situations. Be sure we will help you in this way and to know that having a black ruby does not always mean riches. You and your system are poor, poor knowledge of cybersecurity and lack of security on your system!.
===
[HOW TO DECRYPT FILES]
1. Copy "Identification Key".
2. Send this key with two encrypted files (less than 5 MB) for trust us to email address "TheBlackRuby@Protonmail.com".
3. We decrypt your two files and send them to your email.
4. After ensuring the integrity of the files, you must pay $650 (USD) with bitcoin and send transaction code to our email, our bitcoin address is "19S7k3zHphKiYr85T25FnqdxizHcgmjoj1".
5. You get "Black Ruby Decryptor" Along with the private key of your system.
6. Everything returns to the normal ana your files will be released.
===
[What is encryption?]
Encryption is a reversible modification of information for security reasons but providing full access to it for authorised users.
To become an authorised user and keep the modification absolutely reversible (in other words to have a possibility to decrypt your files) you should have an "Personal identification Key". But not only it. It is required also to have the special decryption software (in your case "Black Ruby Decryptor" software) for safe and complete decryption of all your files and data.
[Everything is clear for me but what should I do?]
The first step is reading these instructions to the end. Your files have been encrypted with the "Black Ruby Ransomware" software; the instructions ("how-to-decrypt-files.txt") in the folders with your encrypted files are not viruses, they will help you. After reading this text the most part of people start searching in the internet the words the "Black Ruby Ransomware" where they find a lot of ideas, recommendation and instructions, it is necessary to realise that we are the ones who closed the lock on your files and we are the only ones who have this secret key to open them.
[Have you got advice?]
[*** Any attempts to get back you files with the third-party tools can be fatal for your encrypted files ***]
The most part of the tried-party software change data with the encrypted files to restore it but this cases damage to the files.
Finally it will be impossible to decrypt your files, when you make a puzzle but some items are lost, broken or not put in its place - the puzzle items will never match, the same way the third-party software will ruin your files completely and irreversibly. You should realise that any intervention of the third-party software to restore files encrypted with the "Black Ruby Ransomware" software may be fatal for your files.
If you look through this text in the internet and realise that something is wrong with your files but you do not have any instructions to restore your files, please contact your antivirus support.

Пример "Identification Key":
686D335239494766553745424556554E49753849745541644758736B596C67765150764B6E505253355A55533556704D5A37634850554B43706D62662F57375769347272756E62545545685A763732455A30444F6C73744F587A7668597050534249366830506874715A34772B3664746B7754385973746854384D48646B696545566D757963664E66442F31653657572B6C786958374B525A66547673386337424B4672564C58357854467763726A74376D2F79514F2B5871397A6E6949365552704C4C332B79354E372F39352B6A3444734637624E434A464F6A4F6C5570764D6F6E75656D724E3476764C4871444A6B67637664446539784B782B4750745778547748467A78716A62653041436A59506E48762B4A6A5473317772483047367371362B793131724F304744626C5950466E2B6F38685732386778762F4A5245374E554A50554E2F477A4F5138677A43546257774B413D3D

Перевод записки на русский язык:
Black Ruby (Чёрный рубин)
=== Идентификационный ключ ===
***
=== Идентификационный ключ ===
[Не удается получить доступ к вашим файлам?]
Поздравляем, теперь вы часть нашей семьи #BlackRuby Ransomware. Область этого семейства с каждым днем ​​становится всё шире и шире.
Наши хозяева приветствуют наше присутствие, потому что мы дадим им скудный сувенир из сердца Земли.
На этот раз мы представляем новый сувенир под названием "Черный рубин". Рубин в чёрном, отличный, красивый и блестящий, который беспокоился о том, чтобы извлечь эти годы, и вы также должны перенести эту тяжелую работу, чтобы сохранить ее. Если у вас нет терпения этой трудности или вы ненавидите этот драгоценный камень, мы готовы получить ценовые годы добычи и поиска рубинов для вашей помощи и других людей мира, которые являются гостями чёрного рубина.
Поэтому давайте немного поговорим с вами, не имея метафоры и литературных терминов, чтобы понять важность темы.
Неважно, являетесь ли вы малым бизнесом или управляете крупной организацией, независимо от того, являетесь ли вы обычным пользователем или приверженным сотрудником, важно, чтобы у вас был черный рубин и чтобы избавиться от него, вам нужно получить вернуться к предыдущей ситуации, и нам нужен следующий шаг.
Широта этой семьи не должна останавливаться, потому что у нас достаточно знаний, и вы также доверяете нашим знаниям.
Мы всегда являемся вашими сторонниками и хранителями вашей информации на этом многодневном банкете и будьте уверены, что никто в мире не сможет взять его у вас, кроме тех, кто извлекает этот драгоценный камень.
Нам необходимо двустороннее сотрудничество в развитии знаний в области кибербезопасности. Основой этого сотрудничества является взаимное доверие, которое приведет к миру и спокойствию, вы должны заплатить биткойны за 650 долларов США (USD) за восстановление вашей системы до предыдущего состояния, и вы можете свободно оставаться в этой ситуации или возвращаться к нормальный.
Не забывайте, что ваша возможность ограничена. Из этих пределов вы можете создавать золотые ситуации. Будьте уверены, что мы поможем вам таким образом и знайте, что наличие чёрного рубина не всегда означает богатство. Вы и ваша система плохая, плохое знание кибербезопасности и отсутствие безопасности в вашей системе!.
===
[КАК ОТКРЫТЬ ФАЙЛЫ]
1. Скопируйте "Идентификационный ключ".
2. Отправьте этот ключ с двумя зашифрованными файлами (меньше 5 МБ) нам на email-адрес TheBlackRuby@Protonmail.com.
3. Мы расшифруем два ваших файла и отправим их на ваш email-адрес.
4. После обеспечения целостности файлов вы должны заплатить $650 (USD) в биткоинах и отправить код транзакции на наш email-адрес, наш биткоин-адрес - 19S7k3zHphKiYr85T25FnqdxizHcgmjoj1.
5. Вы получите "Black Ruby Decryptor" вместе с секретным ключом вашей системы.
6. Все вернется к нормальному состоянию и ваши файлы будут освобождены.
===
[Что такое шифрование?]
Шифрование - это обратимая модификация информации в целях безопасности, но обеспечивающая полный доступ к ней для авторизованных пользователей.
Чтобы стать авторизованным пользователем и сохранить модификацию абсолютно обратимой (другими словами, чтобы иметь возможность расшифровать ваши файлы), вы должны иметь "Личный идентификационный ключ". Но не только это. Также требуется специальная программа для дешифрования (в вашем случае программа Black Ruby Decryptor) для безопасного и полного дешифрования всех ваших файлов и данных.
[Все мне ясно, но что мне делать?]
Первый шаг - до конца прочитать эти инструкции. Ваши файлы были зашифрованы программой "Black Ruby Ransomware"; инструкции ("how-to-decrypt-files.txt") в папках с зашифрованными файлами не являются вирусами, они вам помогут. После прочтения этого текста большая часть людей начинает поиск в Интернете слов "Black Ruby Ransomware", где они находят много идей, рекомендаций и инструкций, необходимо понять, что мы те, кто закрыли замок на ваших файлах, и мы единственные, у кого есть этот секретный ключ, чтобы открыть их.
[У вас есть совет?]
[*** Любые попытки вернуть файлы с помощью сторонних инструментов могут быть фатальными для ваших зашифрованных файлов ***]
Большая часть проверенных программ изменяет данные в зашифрованных файлах при восстановлении, но это приводит к повреждению файлов.
Наконец, невозможно будет расшифровать ваши файлы, когда вы создадите головоломку, но некоторые предметы будут потеряны, сломаны или не будут помещены на место - элементы головоломки никогда не будут совпадать, так же, как сторонние программы полностью и необратимо разрушат ваши файлы. Вы должны понимать, что любое вмешательство сторонних программ для восстановления файлов, зашифрованных программой Black Ruby Ransomware, может быть фатальным для ваших файлов.
Если вы просматриваете этот текст в Интернете и понимаете, что что-то не так с вашими файлами, но у вас нет никаких инструкций по восстановлению ваших файлов, обратитесь в свою антивирусную поддержку.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, а также с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Если компьютер по IP-адресу относится к Ирану, то файлы не шифруются. Для других стран запускается шифрование.

 Дроппирует в систему жертвы майнер XMRig для майнинга криптовалюты Monero. Когда майнер будет запущен, он подключится к пулу на de01.supportxmr.com:3333, где он начнет добычу крипто-валюты Monero.

 BlackRuby вмешивается в загрузку Windows. 

Выполняет деструктивные команды:
/C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
/C Bcdedit.exe /set {default} recoveryenabled no
/C vssadmin.exe delete shadows /all /Quiet
/C wevtutil.exe cl Application
/C wevtutil.exe cl Security
/C wevtutil.exe cl System
/C WMIC.exe shadowcopy delete

Очищает журналы Windowsприложений, событий безопасности:
"/C wevtutil.exe cl System"
"/C wevtutil.exe cl Application",
"/C wevtutil.exe cl Security",
Расшифровка: "cl" - "clear-log" - очистка логов

Список файловых расширений, подвергающихся шифрованию:
.1, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .602, .7z, .7zip, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .advertisements, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .ARC, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avhd , .avi, .awg, .back, .backup, .backupdb, .bak, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .brd, .bz2, .c , .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .conf, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .ctl, .dac, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .disk, .dit, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .epub, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .html, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4u, .m4v, .mail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrg, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .ora, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .ovf, .p12, .p7b, .p7c, .pab, .pages, .PAQ, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pmf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .ps1, .psafe3, .psd, .pst, .ptx, .pvi, .pwm, .py, .pyc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .vbox, .vbs, .vcb, .vcd, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsd, .vsdx, .vsv, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .work, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xvd, .ycbcra, .yuv, .zip (433 расширений без дублей, 12 дублей удалено).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает следующие директории:
Microsoft
Microsoft Help
Microsoft App
Windows
Windows NT
Windows Defender
Windows Kits
Windows Mail
Windows Media Player
Windows Multimedia Platform
Windows Phone Kits
Windows Phone
Windows Photo Viewer
Windows Protable Devices
Windows Slidebar
WindowsPowerShell
Program Files
ProgramData
PerfLogs
$Recycle.Bin
BlackRuby
!!AntiCrypto!!
Avast
AVG
Avira
Certification Kit
Chrome
Common Files
COMODO
Dr.Web
ESET
Internet Explorer
Kaspersky Lab
McAfee
Microsoft Shared
Microsoft.NET 
Movie Maker
Mozilla Firefox
ntldr
NVIDIA Corporation
Opera
Outlook Express
Public
Silverlight Kits
spytech software
Symantec
Symantec_Client_Security
sysconfig
System Volume Information
Temp
Wsus
YandexBrowser

Файлы, связанные с этим Ransomware:
Windows Defender.exe (Defender.exe)
HOW-TO-DECRYPT-FILES.txt
\BlackRuby\
WindowsUI.exe
Svchost.exe
Дроппирует на компьютер 2000 файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\Desktop\Defender.exe
C:\Windows\system32\BlackRuby\WindowsUI.exe
C:\Windows\system32\BlackRuby\Svchost.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\BlackRuby
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run "Windows Defender" = "C:\Windows\system32\BlackRuby\WindowsUI.exe"
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: freegeoip.net (104.31.10.172:80 США) - DNS
de01.supportxmr.com (94.130.12.27:3333 Германия) - DNS
xxxx://freegeoip.net/json/ - проверка IP
xxxxs://gl.mozhua.net/***
xxxx://pool1.xaxaxa.eu/*** 
Email-1: TheBlackRuby@Protonmail.com
Email-2: blackruby@tutanota.com
TorMailBox: TheBlackRuby@torbox3uiot6wchz.onion
BTC: 19S7k3zHphKiYr85T25FnqdxizHcgmjoj1 - баланс
См. ниже результаты анализов.

Результаты анализов:
Ⓥ VirusBuy образец для анализа >>
Гибридный анализ >>
VirusTotal анализ >>
VMRay анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 12 февраля 2018:
Пост в Твиттере >>


Обновление от 12 февраля 2018:
Пост в Твиттере >>
Теперь XMRig загружается из Github.
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + My Tweet
 ID Ransomware (ID as BlackRuby)
 *
 * 
Added later:
Write-up on BC (added on February 10, 2018) 
Topic of Support (added on February 10, 2018) 
*
 Thanks: 
 MalwareHunterTeam‏
 Michael Gillespie
 Alex Svirid, Andrew Ivanov
 Lawrence Abrams
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 3 февраля 2018 г.

RaRuCrypt

RaRuCrypt Ransomware

(шифровальщик-вымогатель, rar-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES в программа WinRar, а затем требует выкуп в 200 рублей, чтобы вернуть файлы. Оригинальное название. Разработчик-вымогатель: Альберт Михайлович. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало февраля 2018 г. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
README1.TXT
README2.TXT
README3.TXT
README4.TXT
README5.TXT
README6.TXT
README7.TXT
README8.TXT

Содержание записки о выкупе:
Внимание! Ваши файлы были зашифрованы!
Стоимость расшифровки: 200 RUB.
Контакты: vk.com/id12269280
Attention! Your files were encrypted!
Decryption costs: 200 RUB.
Contacts: vk.com/id12269280


Страница вымогателя в социальной сети ВКонтакте уже заблокирована:



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Файлы пользователя
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
rar.exe
bigbang.txt.rar
bigbang.txt
_kill.bat
\AppData\README1.TXT
\AppData\README2.TXT
\AppData\README3.TXT
\AppData\README4.TXT
\AppData\README5.TXT
\AppData\README6.TXT
\AppData\README7.TXT
\AppData\README8.TXT

Расположения:

\AppData\rar.exe
\Desktop\bigbang.txt.rar
\Desktop\bigbang.txt
\AppData\_kill.bat
C:\WINDOWS\system32\chcp.com chcp 1251
\AppData\README1.TXT
\AppData\README2.TXT
\AppData\README3.TXT
\AppData\README4.TXT
\AppData\README5.TXT
\AppData\README6.TXT
\AppData\README7.TXT
\AppData\README8.TXT
\Desktop\ ->
\User_folders\ ->

Расшифровка выполняется через RAR и пароль:
 S?{DCO^C!{L@CR^+<7E}2

Для расшифровки выполняется команда: 
\AppData\rar.exe" a -hpS?{DCO^C!{L@CR^+<7E}2

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
vk.com/id12269280

См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Jakub Kroustek
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 2 февраля 2018 г.

LockMe

LockMe Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей и сетевых хранилищ с помощью AES, а затем требует выкуп в 0.03 BTC, чтобы вернуть файлы. Оригинальное название: LockMe. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.
Надпись LockMe в ASCII

К зашифрованным файлам добавляется расширение .lockme

Активность этого крипто-вымогателя пришлась на начало февраля 2018 г. Ориентирован на многоязычных пользователей (54 языка), потому может распространяться по всему миру.

Записка с требованием выкупа называется: README_FOR_DECRYPT_YOUR_FILES.txt

В ней есть текст на 54-х языках: английский, русский, китайский, немецкий, украинский, индонезийский, турецкий, польский, португальский, румынский, хорватский, африкаанс, итальянский, испанский, армянский, арабский, азербайджанский, белорусский, болгарский, каталанский, хорватский, чешский, датский, нидерландский, филиппинский, французский, грузинский, греческий, иврит, хинди, исландский, игбо, ирландский, казахский, курманджи, киргизский, лаосский, латинский, латышский, литовский, люксембургский, македонский, малагасийский, маори, монгольский, бирманский, непальский, норвежский, словацкий, словенский, таджикский, тайский, узбекский, вьетнамский. 

Содержание записки о выкупе (малая часть):
All of your files have been Encrypted with military grade system and impossible to brute force, cracking, or reverse engineering it !
If you want all of your files back send me 0.03 BTC .
[+] Your Unique ID : [***]
[+] Send BTC To This Address : 1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
[+] Send BTC : 0.03 BTC
[+] Contact Email : LockMecQqL3Ruyi7V0RfZ@tutamail.com | LockMe9hG1F7pbWqThUt9P8@mailfence.com
*) Don't try change the '.lockme' extensions , if you change it , your all files can be broken and can't be restored forever .
*) If you've made a payment contact LockMecQqL3Ruyi7V0RfZ@tutamail.com | LockMe9hG1F7pbWqThUt9P8@mailfence.com .
*) If you not made a payment all of your private files will be leaked on internet (private photos, documents, videos, and more) .
Question : How to buy Bitcoin ? 
Answer   : You can buy Bitcoin at this Website : bitcoin.com , coinbase.com , cex.io , paxful.com , coinmama.com , etc .
[+] Your IP : [***] | Your ID : [***] [+]

Все ваши файлы были зашифрованы с помощью системы военного класса и невозможны для грубой силы, взлома или реконструирования!
Если вы хотите, чтобы все ваши файлы отправили мне 0.03 BTC.
[+] Ваш уникальный идентификатор : [***]
[+] Отправить BTC на этот адрес : 1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
[+] Отправить BTC : 0.03 BTC
[+] Контактный адрес электронной почты : LockMecQqL3Ruy7V0RfZ@protonmail.com
*) Не пытайтесь изменить расширения .lockme, если вы его измените, все ваши файлы могут быть повреждены и не могут быть восстановлены навсегда.
*) Если вы сделали платежный контакт LockMecQqL3Ruy7V0RfZ@protonmail.com.
*) Если вы не сделали платеж, все ваши личные файлы будут просочились в Интернет (частные фотографии, документы, видеоролики и т. Д.).
Вопрос : Как купить биткойн?
Ответ : Вы можете купить Bitcoin на этом сайте: bitcoin.com, coinbase.com, cex.io, paxful.com, coinmama.com и т. Д.
[+] Ваш IP : [***] | Ваш ID : [***] [+]

所有的文件已经加密与军事级系统,不可能暴力破解,或逆向工程!
如果你想你所有的文件送我 0.03 BTC。
[+]您的唯一ID :[***]
[+]发送BTC到这个地址 :1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
[+]发送BTC :0.03 BTC
[+]联系电子邮箱 :LockMecQqL3Ruyi7V0RfZ@tutamail.com | LockMe9hG1F7pbWqThUt9P8@mailfence.com
*)不要尝试改变'.lockme'扩展名,如果你改变它,你的所有文件都可以被破坏,不能永久恢复。
*)如果您已经付款联系LockMecQqL3Ruyi7V0RfZ@tutamail.com | LockMe9hG1F7pbWqThUt9P8@mailfence.com。
*)如果您没有付款,所有私人文件将在互联网上泄露(私人照片,文档,视频等)。
问题 : 如何购买比特币?
: 您可以在本网站购买比特币:bitcoin.com,coinbase.com,cex.io,paxful.com,coinmama.com等。
[+] 您的IP :[***] | 您的ID :[***] [+]
***


Перевод записки на русский язык:
Уже сделан выше. Как можете заметить, перевод на русский довольно корявый. Сразу видно, что использовалась система автоматизированного перевода от Google. Но это могло быть сделано и умышленно. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Зашифрованные файлы имеют маркер файлов: Salted__

Файлы, связанные с этим Ransomware:
README_FOR_DECRYPT_YOUR_FILES.txt
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
Email: LockMecQqL3Ruy7V0RfZ@protonmail.com - только в тексте на русском языке
LockMecQqL3Ruyi7V0RfZ@tutamail.com и LockMe9hG1F7pbWqThUt9P8@mailfence.com - для всех других языков
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 14 июля 2018:
Пост в Твиттере >>
BTC: 1LockMeEPLr4ZRsoht8Wp6idBsT5TuBXtX
Email: LockMecQqL3Ruyi7V0RfZ@tutamail.com




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LockMe)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *