WhiteRose

WhiteRose Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. 🔓 Статус: файлы можно дешифровать. 

Обнаружения: 
DrWeb -> Trojan.Encoder.25053, Trojan.Encoder.25064
BitDefender -> Trojan.GenericKD.30515346, Generic.Ransom.Hiddentear.A.A3A73378
ALYac -> Trojan.Ransom.WhiteRose

© Генеалогия: InfiniteTear (modified) > BlackRuby > WhiteRose

К зашифрованным файлам добавляется расширение .WHITEROSE

Название зашифрованного файла переименовывается в случайное с добавлением между новым названием и новым расширением фразы _ENCRYPTED_BY 
В итоге получается составное расширение: _ENCRYPTED_BY.WHITEROSE

Примеры зашифрованных файлов:
BT2cJMtNeYlaKJHP_ENCRYPTED_BY.WHITEROSE
0VAZ5EHP7SDdG1vp_ENCRYPTED_BY.WHITEROSE

Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW-TO-RECOVERY-FILES.TXT
В записке о выкупе есть изображение розы в ASCII. 

В записке используется созданное в ASCII изображение белой розы. 

Это изображение в знаках ASCII предшествует основному тексту записки. Далее идет следующий текст. 

Содержание записки о выкупе:
=====================[PersonalKey]=====================
PpWh3f536r******SaUaaV+fAc/hCqLtHujsZ18SdiNH6FzINtYaAOK
9ctyI8AGYf3ltM/XQiZm9LKVT5tyGHuIaKjjg0wxTvJvv**********
7scZINf8zL9+hPThPy/62rKdEbGrEczf0mBMw7z78lKZs**********
6wxZCI=
=====================[PersonalKey]=====================
The singing of the sparrows, the breezes of the northern mountains and smell of the earth that was raining in the morning filled the entire garden space. I'm sitting on a wooden chair next to a bush tree, I have a readable book in my hands and I am sweating my spring with a cup of bitter coffee. Today is a different day.
Behind me is an empty house of dreams and in front of me, full of beautiful white roses.
To my left is an empty blue pool of red fish and my right, trees full of spring white blooms.
I drink coffee, I'll continue to read a book from William Faulkner. In the garden environment, peace and quiet. My life always goes that way. Always alone without even an intimate friend.
I have neither a pet, nor a friend or an enemy; I am a normal person with fantastic wishes among the hordes of white rose flowers. Everything is natural. I'm just a little interested in hacking and programming. My only electronic devices in this big garden are an old laptop for do projects and an iPhone for check out the news feeds for malware analytics on Twitter without likes posts.
Believe me, my only assets are the white roses of this garden.
I think of days and write at night: the story, poem, code, exploit or the accumulation of the number of white roses sold and I say to myself that the wealth is having different friends of different races, languages, habits and religions, Not only being in a fairly stylish garden with full of original white roses.
Today, I think deeply about the decision that has involved my mind for several weeks. A decision to freedom and at the worth of unity, intimacy, joy and love and is the decision to release white roses and to give gifts to all peoples of the world.
I do not think about selling white roses again. This time, I will plant all the white roses of the garden to bring a different gift for the people of each country. No matter where is my garden and where I am from, no matter if you are a housekeeper or a big company owner, it does not matter if you are the west of the world or its east, it's important that the white roses are endless and infinite. You do not need to send letters or e-mails to get these roses. Just wait it tomorrow.
Wait for good days with White Rose.
I hope you accept this gift from me and if it reaches you, close your eyes and place yourself in a large garden on a wooden chair and feel this beautiful scene to reduce your anxiety and everyday tension.
Thank you for trusting me. Now open your eyes. Your system has a flower like a small garden; A white rose flower.
///////////////////////////////////////////////////
    [Recovery Instructions]
    I.   Download qTox on your computer from [https://tox.chat/download.html]
    II.  Create new profile then enter our ID in search contacts
         Our Tox ID: "6F548F21789***".
        III. Wait for us to accept your request.
        IV.  Copy '[PersonalKey]' in "HOW-TO-RECOVERY-FILES.TXT" file and send this key with one encrypted file less size then 2MB for  trust us in our Tox chat.  
             IV.I. Only if you did not receive a reply after 24 hours from us,
            send your message to our secure tor email address "TheWhiteRose@Torbox3uiot6wchz.onion".
         IV.II. For perform "Step IV.I" and enter the TOR network, you must download tor browser
                and register in "http://torbox3uiot6wchz.onion" Mail Service)
        V.   We decrypt your two files and we will send you.
        VI.  After ensuring the integrity of the files, We will send you payment info.
        VII. Now after payment, you get "WhiteRose Decryptor" Along with the private key of your system.
        VIII.Everything returns to the normal and your files will be released.
/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
What is encryption?
In cryptography, encryption is the process of encoding a message or information in such a way that only authorized parties can access it, and those who are not authorized cannot. Encryption does not itself prevent interference, but denies the intelligible content to a would-be interceptor. In an encryption scheme, the intended information or message, referred to as plaintext, is encrypted using an encryption algorithm – a cipher – generating ciphertext that can be read only if decrypted.
For technical reasons, an encryption scheme usually uses a pseudo-random encryption key generated by an algorithm.
It is in principle possible to decrypt the message without possessing the key, but, for a well-designed encryption scheme, considerable computational resources and skills are required.
An authorized recipient can easily decrypt the message with the key provided by the originator to recipients but not to unauthorized users.
in your case “WhiteRose Decryptor” software for safe and complete decryption of all your files and data.
Any other way?
If you look through this text in the Internet and realise that something is wrong with your files but you do not have any instructions to restore your files, please contact your antivirus support.

Перевод записки на русский язык:
***Поэтичный рассказ вымогателя о себе и том, как он проводит время и как хочет подарить всем белые розы.***
///////////////////////////////////////////////////
[Инструкции по восстановлению]
    I. Загрузите qTox на свой компьютер с [https://tox.chat/download.html]
    II. Создайте новый профиль, затем введите наш идентификатор в поиске контактов
        Наш Tox ID: "6F548F21789 ***".
    III. Подождите, пока мы примем ваш запрос.
        Скопируйте '[PersonalKey]' из файла "HOW-TO-RECOVERY-FILES.TXT" и отправьте этот ключ с одним зашифрованным файлом меньше 2 МБ, чтобы доверять нам в нашем чате Tox.
    IV.I. Только если вы не получили ответ через 24 часа от нас,
            отправьте свое сообщение на наш безопасный email-адрес
"TheWhiteRose@Torbox3uiot6wchz.onion".
    IV.II. Для выполнения "Шага IV.I" и входа в сеть TOR вы должны загрузить Tor-браузер и зарегистрироваться в почтовом сервисе "http://torbox3uiot6wchz.onion")
    V. Мы расшифруем два ваших файла, и мы отправим вам.
    VI. После обеспечения целостности файлов мы отправим вам информацию об оплате.
    VII. Теперь после оплаты вы получаете "WhiteRose Decryptor" вместе с закрытым ключом вашей системы.
    VIII. Все вернётся в нормальное состояние и ваши файлы будут освобождены.
Что такое шифрование?
В криптографии шифрование - это процесс кодирования сообщения или информации таким образом, что только авторизированные стороны могут получить к нему доступ, а те, кто не авторизован, не могут. Шифрование само по себе не допускает вмешательство, но не позволяет узнать содержание потенциальному перехватчику. В схеме шифрования предполагаемая информация или сообщение, называемое открытым текстом, зашифровывается с использованием алгоритма шифрования - шифровального текста, генерируемого шифрованием, который может быть прочитан только при расшифровке.
По техническим причинам схема шифрования обычно использует псевдослучайный ключ шифрования, генерируемый алгоритмом.
В принципе, возможно расшифровать сообщение без наличия ключа, но для хорошо продуманной схемы шифрования требуются значительные вычислительные ресурсы и навыки.
Авторизованный получатель может легко расшифровать сообщение с помощью ключа, предоставленного отправителем получателю, но неавторизованные пользователи не могут.
в вашем случае "WhiteRose Decryptor" для безопасного и полного дешифрования всех ваших файлов и данных.
Любым другим путем?
Если вы просматриваете этот текст в Интернете и понимаете, что что-то не так с вашими файлами, но у вас нет никаких инструкций по восстановлению ваших файлов, обратитесь в поддержку вашего антивируса.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

WhiteRose выполняет следующие деструктивные команды (удаление тенвых копий файлов, отключает функции восстановления и исправления Windows на этапе загрузки, очищает журналы работы приложений, журналы безопасности и системы, чтобы они не могли быть использованы для анализа и проведения расследований, командами:
cmd.exe /C vssadmin.exe delete shadows /all /Quiet
cmd.exe /C WMIC.exe shadowcopy delete
cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no
cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
cmd.exe /C wevtutil.exe cl Application
cmd.exe /C wevtutil.exe cl Security
cmd.exe /C wevtutil.exe cl System

Список файловых расширений, подвергающихся шифрованию:
 .1, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .602, .7z, .7zip, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .advertisements, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .ARC, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avhd , .avi, .awg, .back, .backup, .backupdb, .bak, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .brd, .bz2, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .conf, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .ctl , .dac, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .disk, .dit, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .epub, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .html, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4u, .m4v, .mail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrg, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .ora, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .ovf, .p12, .p7b, .p7c, .pab, .pages, .PAQ, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pmf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .ps1, .psafe3, .psd, .pst, .ptx, .pvi, .pwm, .py, .pyc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .vbox, .vbs, .vcb, .vcd, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsd, .vsdx, .vsv, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .work, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xvd, .ycbcra, .yuv, .zip (433 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаются и не шифруются файлы в следующих директориях: 
Windows
Program Files
$Recycle.Bin
Microsoft

Файлы, связанные с этим Ransomware:
White.exe (WhiteRose.exe)
<random>.exe - случайное название
HOW-TO-RECOVERY-FILES.TXT
WhiteRose Decryptor.exe
Perfect.sys

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Perfect.sys

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-email: TheWhiteRose@Torbox3uiot6wchz.onion
xxxxs://tox.chat/download.html
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 5 июля 2019:
Пост в Твиттере >>
Расширение .WHITEROSE
Составное расширение: _ENCRYPTED_BY.WHITEROSE
Пример зашифрованого файла: 07A3lpMWHSDcuLLu_ENCRYPTED_BY.WHITEROSE
Результаты анализов: VT + VMR

Вероятно, это старый вариант, известный с марта 2018. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Если всё получится, то здесь будет ссылка..*
Пока рекомендую обращаться в топик поддержки 
или к Майклу Джиллеспи по ссылке >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WhiteRose)
 Write-up, Topic of Support
 * 

Added later:
Write-up
Write-up

 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Sorry HT

Sorry HT Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Sorry HT Ransomware

К зашифрованным файлам добавляется расширение .sorry

Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: How Recovery Files.txt и hrf.txt и hrf.txt

Содержание записки о выкупе:
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - systems@hitler.rocks or systems@tutanota.com
and tell us your unique ID - ID_FURAT75WBU

Перевод записки на русский язык:
Привет, дорогой друг!
Все ваши файлы были ЗАШИФРОВАНЫ
Вы точно хотите восстановить ваши файлы?
Пишите на наш email - systems@hitler.rocks или systems@tutanota.com.
и сообщите нам свой уникальный ID - ID_FURAT75WBU

Другой пример ID:
ID_SNAQHT0AZD

Текст составлен так, как он есть в некоторых февральских вариантах Rapid Ransomware. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How Recovery Files.txt
hrf.txt
ConsoleApp1.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: systems@tutanota.com
Email-2: systems@hitler.rocks
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7 апреля 2018:
Расширение: .sorry
Email: jojolly@cock.li
riga55@tutanota.com
Результаты анализов: HA + VT


Обновление от 10 апреля 2018:
Пост в Твиттере >>
Расширение: .sorry
Email: svchostport@tutanota.com, cjhost@tuta.io
Записка: hrf.txt
Расположения записки:
C:\Windows\hrf.txt
C:\Users\admin\AppData\Local\VirtualStore\Windows\hrf.txt
Содержание записки: 
Hello, dear friend!
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - svchostport@tutanota.com or cjhost@tuta.io
and tell us your unique ID - ID_1Y47ZXY67Q
Файл: ConsoleApp1.exe
Название задачи: JohnCena
Результаты анализов: VT + AR

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке >>

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

EGG, EggLocker

EGG Ransomware

EggLocker Ransomware

(шифровальщик-НЕ-вымогатель, опасная шутка)

Этот крипто-вымогатель шифрует данные пользователей, но не сообщает никаких условий для восстановления файлов. Оригинальное название: EGG, EggLocker. На файле написано: WindowsFormsApp1 и EGG.exe. Разработчик: Krysto, чешского происхождения. Шифровальщик позиционируется разработчиком как программа-шутка, но функционал опасен для файлов пользователей.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .EGG

Изображение из ресурсов шифровальщика

Образец этого крипто-вымогателя был найден во второй половине марта 2018 г. Ориентирован на англоязычных пользователей.

Записка с требованием выкупа называется: EGG.txt

Содержание записки о выкупе:
Chicken has just awoken!
Your pc has to pay for all files otherwise small chicken is going to eat them all!
There is no way to kill chicken.
Your attack means her respond

Перевод записки на русский язык:
Курочка только что проснулась!
Ваш ПК должен заплатить за все файлы, иначе цыплёнок их всех съест!
Нельзя убить цыплёнка.
Ваша атака - он отвечает

Исследователь предоставил ещё изображение, которое встаёт обоями рабочего стола. 

Появляются также выступают некие диалоговые экраны, вероятно связанные с недоработками:

Технические детали

Распространяется через сайты и форумы для неких сомнительных учебных целей. Позиционируется как программа-шутка, но далеко небезобидная.  

После доработки вполне может начать распространяться как другие Ransomware, т.е. путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Завершает процессы и приложения, которые могут помешать шифрованию файлов. 

Список файловых расширений, подвергающихся шифрованию:
.doc, .exe, .jpg, .mp3, .pdf, .png  и другие
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
EGG.exe
EGG.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://www.facebook.com/krystofoxik
xxxxs://twitter.com/Krystofoxik/likes
xxxx://sazava.pw
xxxx://chickenluck.win
xxxx://ocsp.int-x3.letsencrypt.org
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>  VT>>  VT>>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as EggLocker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

UselessDisk, DiskWriter

UselessDisk Ransomware

DiskWriter Ransomware

(шифровальщик-вымогатель, MBR-модификатор)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем перезагружает систему и требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: UselessDisk. На файле написано: UselessDisk.exe

© Генеалогия: UselessDisk > UselessFiles

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops,your important files are encrypted. 
If you see this text,then your files are not accessible,because they've been encrypted.Maybe you're busy looking for a way to recover your files,but don't waste your time.Nobody can recover your files without our decryption service. 
In order to decrypt.Please Send $300 worth of Bitcoin to this address: 
1GZCw453MzQr8V2VAgJpRmKBYRDUJ8kzco

Перевод записки на русский язык:
Упс, ваши важные файлы зашифрованы.
Если вы видите этот текст, то ваши файлы недоступны, т.к. они были зашифрованы. Возможно, вы ищете способ восстановить свои файлы, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифровки.
Для того, чтобы дешифровать. Пожалуйста, отправьте биткоины на сумму $300 на этот адрес:
1GZCw453MzQr8V2VAgJpRmKBYRDUJ8kzco

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ После запуска на ПК заменяет MBR своим собственным загрузчиком. Затем делает принудительную перезагрузку системы с помощью команды: shutdown.exe shutdown -r -t 0
После перезагрузки демонстрирует экран с требованиями выкупа — красный текст на чёрном фоне. 

➤ Вероятно, также намеренно повреждает MFT или таблицу разделов, чтобы не допустить использование файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
UselessDisk.exe
DiskWriter.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
MBR ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1GZCw453MzQr8V2VAgJpRmKBYRDUJ8kzco
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as UselessDisk)
 Write-up, Topic of Support
 * 

 Thanks: 
 Dmitry Melikov, Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Rapid-2

Rapid 2.0 Ransomware

(шифровальщик-вымогатель) 

Translation into English

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Подробнее для пострадавших из России, Беларуси и Казахстана >>>

Информация о шифровальщике

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы заплатить выкуп в # BTC и расшифровать файлы. Оригинальное название: rapid2.0 (указано в коде) и RAPID 2.0 (указано в записке). На файле написано: 127551406_build.exe. Для вас подготовлен видеообзор. 

© Генеалогия: Rapid > Rapid 2.0 > Rapid 3.0

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение с пятью знаками в верхнем регистре:
Примеры: 
.GQKYO
.GJLLW
.JFCWF

Название файла переименовывается в набор из 8 цифр. 
Например, зашифрованный файл будет выглядеть так:
16152000.GQKYO
16152125.GJLLW

Активность этого крипто-вымогателя пришлась на вторую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

👉 Примечательно, что этот шифровальщик не шифрует файлы, если обнаруживает русскую версию Windows. 

Записка с требованием выкупа называется в рамках шаблона: DECRYPT.[5-random-chars].txt
Примеры: 
DECRYPT.GQKYO.txt
DECRYPT.GJLLW.txt
DECRYPT.JFCWF.txt

Содержание записки о выкупе:
- ALL YOUR FILES ARE ENCRYPTED BY RAPID 2.0 RANSOMWARE - 
Dont worry, you can return all your files!
Attention!
All your files documents, photos, databases and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase a Rapid Decryptor.
This software will decrypt all your encrypted files and will delete Rapid from your PC.
To get this software you need write on our e-mail:
1. supp1decr@cock.li
2. supp2decr@cock.li (if first email unavailable)
What guarantees do we give to you?
You can send one of your encrypted file from your PC and we decrypt him for free. 
But we can decrypt only 1 file for free. File must not contain valuable information
Attention!
Dont try to use third-party decryptor tools because it will destroy your files.

Перевод записки на русский язык:
- ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ RAPID 2.0 RANSOMWARE -
Не волнуйтесь, вы можете вернуть все свои файлы!
Внимание!
Все ваши файлы, фото, базы данных и другие важные файлы зашифрованы с самым сильным шифрованием и уникальным ключом.
Единственный способ восстановить файлы - купить Rapid Decryptor.
Эта программа расшифрует все ваши зашифрованные файлы и удалит Rapid с вашего ПК.
Чтобы получить эту программу, вам надо написать на наш email:
1. supp1decr@cock.li
2. supp2decr@cock.li (если первый email недоступен)
Какие гарантии мы даем вам?
Можете прислать 1 зашифрованный файл с вашего ПК и мы расшифруем его бесплатно.
Но мы можем дешифровать лишь 1 файл бесплатно. Файл не должен содержать ценную информацию
Внимание!
Не используйте чужие декрипторы, т.к. они повредят ваши файлы.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Rapid 2.0 не шифрует файлы, если обнаруживает русскую версию Windows. 

Список файловых расширений, подвергающихся шифрованию:
Все важные файлы. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
DECRYPT.[5-random-chars].txt
Файлы типа 15705xxxxx.EEHTT: 1570532693.EEHTT, 1570537580.EEHTT, 1570541306.EEHTT и пр.

Содержимое файла 1570541306.EEHTT

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: supp1decr@cock.li2, supp2decr@cock.li
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Rapid Ransomware - январь 2018
Rapid 2.0 Ransomware - март 2018
Rapid 3.0 Ransomware - май 2018
Rapid-Gillette Ransomware - март 2019

Rapid-1 был создан на основе Relec Ransomware, дополненный банковский трояном. Это была их первая попытка разжиться баблом. Уровень распространения (по разным странам) Rapid 2-3 говорит о том, что за ним стоит международная группа разработчиков (проще говоря, люди из разных стран). Они знают русский, английский и тем самым могут привлекать в свои ряды любителей наживы из многих других стран. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 28 марта 2018:
Email: decripted@tutanota.com   

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Rapid 2.0)
 Write-up, Topic of Support
 🎥  Video review >>

  Видеоролик от GrujaRS

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 CyberSecurity GrujaRS
 Andrew Ivanov (article author)
 

© Amigo-A (Andrew Ivanov): All blog articles.