Если вы не видите здесь изображений, то используйте VPN.

вторник, 3 апреля 2018 г.

Vurten

Vurten Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $10000 в BTC, чтобы вернуть файлы. Оригинальное название: не указано. Использована библиотека Crypto++. 

Обнаружения: 
BitDefender -> Trojan.GenericKD.30546630
Avira (no cloud) -> TR/Occamy.doysv
ESET-NOD32 -> A Variant Of Win32/Filecoder.NQD
Symantec -> Trojan.Gen.2
TrendMicro -> Ransom_VURTEN.THDOEAH

© Генеалогия: Everbe, DCRTR + Generic Ransomware > Vurten
Родство подтверждено сервисом Intezer Analyze >>


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .improved

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: UNCRYPT.README.txt


С
одержание записки о выкупе:
Your entire network sensetive data was encrypted with our strong algorithm.
To recover your data send $10000 to the bitcoin address: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
If you do not send money within 7 days, payment will be increased double.
After payment you will receive decryption software.
Contact email: vurten_knyert@protonmail.com

Перевод записки на русский язык:
Все ваши сетевые данные зашифрованы с нашим сильным алгоритмом.
Для возврата ваших данных пошлите $10000 на биткоин-адрес: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
Если вы не пошлёте деньги за 7 дней, оплата будет удвоена.
После оплаты вы получите программу дешифрования.
Контактный email: vurten_knyert@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.$db, .001, .002, .003, .08, .09, .10, .11, .7z, .ab, .abk, .accdb, .accde, .accdr, .accdt, .accdw, .accft, .ade, .adi, .adl, .adn, .arc, .arm, .arz, .asd, .ate, .ati, .bac, .bak, .bak2, .big, .bkp, .bkup, .bup, .c, .cal, .cat, .cbs, .cbu, .cc, .cls, .cmf, .cnf, .conf, .cpp, .crypt12, .crypt5, .crypt6, .crypt7, .crypt8, .crypt9, .cs, .csv, .cxx, .dat, .db, .db3, .dbf, .dbs, .dbt, .dbv, .ddl, .def, .dex, .doc, .docm, .docm, .docx, .docx, .docxml, .dot, .dot, .dov, .dqy, .dropbox, .dsc, .dsk, .dsn, .eml, .emlx, .fdb, .fpt, .frm, .frt, .gho, .ghs, .grv, .gz, .gzip, .h, .hc, .hdi, .hds, .hfs, .hfv, .hlog, .htm, .html, .ib, .ibc, .ibd, .ibz, .imm, .ism, .jpg, .kdb, .kdbx, .latex, .ldf, .ltr, .maf, .map, .maq, .mar, .maw, .mbf, .mcd, .mdb, .mdbhtml, .mdbx, .mdf, .mdf, .mdn, .mig, .mpp, .mrg, .msg, .mwb, .myd, .myi, .mysql, .nbf, .ndf, .nvram, .obk, .odif, .odm, .odp, .ods, .odt, .one, .opt, .ori, .orig, .ort, .pages, .pdf, .pdf, .phl, .pla, .pln, .ppt, .pptx, .pst, .pub, .pvm, .qbquery, .rar, .rtf, .rul, .sal, .scn, .sco, .sdf, .sln, .sqb, .sql, .sqlite, .sqlitedb, .sqr, .tar, .tc, .tc, .tib, .tmd, .tmd, .trc, .txt, .txt, .vbk, .vbm, .vbox-prev, .vdi, .vhd, .vhdx, .vmcx, .vmdk, .vmem, .vmsd, .vmsn, .vmss, .vmtm, .vmwarevm, .vmx, .vmxf, .volarchive, .vpcbackup, .vrb, .walletx, .wbb, .wdb, .wim, .win, .wks, .wrk, .xld, .xlk, .xls, .xlsm, .xlsx, .xml, .xps, .zip (213 расширения в нижнем регистре).

 .$DB, .__A, .__B, .7Z, .AB, .ABK, .ACCDB, .ACCDE, .ACCDR, .ACCDT, .ACCDW, .ACCFT, .ADE, .ADI, .ADL, .ADN, .ARC, .ARM, .ARZ, .ASD, .ATE, .ATI, .BAC, .BAK, .BAK2, .BIG, .BKP, .BKUP, .BUP, .C, .CAL, .CAT, .CBS, .CBU, .CC, .CLS, .CMF, .CNF, .CONF, .CPP, .CRYPT12, .CRYPT5, .CRYPT6, .CRYPT7, .CRYPT8, .CRYPT9, .CS, .CSV, .CXX, .DAT, .DB, .DB3, .DBF, .DBS, .DBT, .DBV, .DDL, .DEF, .DEX, .DOC, .DOCM, .DOCM, .DOCX, .DOCX, .DOCXML, .DOT, .DOT, .DOV, .DQY, .DROPBOX, .DSC, .DSK, .DSN, .EML, .EMLX, .FDB, .FPT, .FRM, .FRT, .GHO, .GHS, .GRV, .GZ, .GZIP, .H, .HC, .HDI, .HDS, .HFS, .HFV, .HLOG, .HTM, .HTML, .IB, .IBC, .IBD, .IBZ, .IMM, .ISM, .JPG, .KDB, .KDBX, .LATEX, .LDF, .LTR, .MAF, .MAP, .MAQ, .MAR, .MAW, .MBF, .MCD, .MDB, .MDBHTML, .MDBX, .MDF, .MDF, .MDN, .MIG, .MPP, .MRG, .MSG, .MWB, .MYD, .MYI, .MYSQL, .NBF, .NDF, .NVRAM, .OBK, .ODIF, .ODM, .ODP, .ODS, .ODT, .ONE, .OPT, .ORI, .ORIG, .ORT, .PAGES, .PDF, .PDF, .PHL, .PLA, .PLN, .PPT, .PPTX, .PST, .PUB, .PVM, .QBQUERY, .RAR, .RTF, .RUL, .SAL, .SCN, .SCO, .SDF, .SLN, .SQB, .SQL, .SQLITE, .SQLITEDB, .SQR, .TAR, .TC, .TC, .TIB, .TMD, .TMD, .TRC, .TXT, .TXT, .VBK, .VBM, .VBOX-PREV, .VDI, .VHD, .VHDX, .VMCX, .VMDK, .VMEM, .VMSD, .VMSN, .VMSS, .VMTM, .VMWAREVM, .VMX, .VMXF, .VOLARCHIVE, .VPCBACKUP, .VRB, .WALLETX, .WBB, .WDB, .WIM, .WIN, .WKS, .WRK, .XLD, .XLK, .XLS, .XLSM, .XLSX, .XML, .XPS, .ZIP (208 расширений в верхнем регистре).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и пр.

Пропускает файлы и папки, содержащие названия и строки: 
WINDOWS, Boot, BOOTSECT, pagefile, System Volume Information, Program Files, Program Files (x86), $Recycle.Bin, ProgramData, AppData\Local, Microsoft, Kaspersky Lab, PerfLogs, VMWare, $RECYCLE.BIN, bootmgr, MSOCache, Public, All Users, Users\\Default, Local\Temp

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
UNCRYPT.README.txt
mswsvc.exe
updater.bat

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: vurten_knyert@protonmail.com
BTC: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
ᕒ ANY.RUN анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Vurten Ransomware - апрель 2018
Mespinoza Ransomware - октябрь 2019 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Vurten)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Alex Svirid, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

понедельник, 2 апреля 2018 г.

Assembly

Assembly Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в 1000$ в BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: assembly.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Assembly

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME.txt

Содержание записки о выкупе:
All files have been encrypted
Send 1000$ in BTC to
1NRtwvG6hvmpm4qv7ChoFGxNNsLaU8A5B9
and send your computername to
ransomrust@protonmail.com
in order to decrypt the files.

Перевод записки на русский язык:
Все файлы зашифрованы
Пришли 1000$ в BTC на 
1NRtwvG6hvmpm4qv7ChoFGxNNsLaU8A5B9
и пришли имя твоего ПК на 
ransomrust@protonmail.com
чтобы расшифровать файлы.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .cpp, .cs, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .raw, .rtf, .sln, .sql, .txt, .vb, .xls, .xlsx, .xml (26 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии и пр.

Файлы, связанные с этим Ransomware:
assembly.exe
<random>.exe - случайное название
READ_ME.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://sweet-candy.co.nf/*** (185.176.43.61:80 Болгария)
52.138.216.83:50843 - США
2.21.242.196:50843 - Евросоюз
Email: ransomrust@protonmail.com
BTC: lNRtwvG6hvmpm4qv7ChoFGxNNsLaU8A5B9
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Bart, Michael Gillespie
 Alex Svirid
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 1 апреля 2018 г.

Dont_Worry

Dont_Worry Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует написать на email вымогателей, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле записки написано: Dont_Worry. На exe-файлах написано: dwintl_x64.exe и gwintl.exe

Обнаружения:
DrWeb -> Trojan.Encoder.25099
BitDefender -> Trojan.GenericKD.30538690, Trojan.GenericKD.30624253
ALYac -> Trojan.Ransom.AMBA

© Генеалогия: Plague17 (2014-2016) > AMBA > Crypto_Lab > Russenger > Dont_Worry > Plague17 (2018-2019)

К зашифрованным файлам добавляется составное расширение по шаблону .<email_ransom>-<random_ID{16}>

На данный момент так: .wog@onionmail.info-<random_ID{16}>

Примеры зашифрованных файлов:
Document001.xml.wog@onionmail.info-11baae9204990064
Image002.jpg.wog@onionmail.info-4668ffbf455b468c

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Имеется временная метка компиляции: 27 февраля 2018. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Dont_Worry.txt
Разбрасывается по всем папкам с зашифрованными файлами. 


Содержание записки о выкупе:

Вся Ваша информация  на этом компьютере была зашифрована.
Для расшифровки обратитесь по нижеуказанным контактам.
------------------------------------------------------------
e-mail: wog@onionmail.info
Ваш код для разблокировки: 42943870
-----------------------------------
Если Вам приходит ответ, что почтовый адрес не существует:
 1. Вам не повезло. Адрес заблокировали.
---------
Все инструкции вы получите в ответном письме.
------------------------------------------------------------

Перевод записки на английский язык (in English):
All your information on this computer has been encrypted.
To decrypt refer to the contacts listed below.
------------------------------------------------------------
e-mail: wog@onionmail.info
Your code for unlock: 42943870
-----------------------------------
If you receive an answer that the mailing address does not exist:
  1. You are unlucky. The address was blocked.
---------
You will receive all instructions in the reply letter.
------------------------------------------------------------



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Записка о выкупе Dont_Worry.txt добавляется в Автозагрузку Windows. 

➤ Вероятно, предназначен для ПК, работающих под управлением Windows x64, т.к. в анализе на VT есть указание на Target Machine x64. Во всяком случае, пока нет других образцов. 

➤ Используется OpenSSL — криптографический пакет с открытым исходным кодом для работы с SSL/TLS. 

 Публичный RSA-2048-ключ.
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wgO9Fmx0oVToCicUzi+
JFL+kU1FgzChB0cKK27r5eeoDENOi0J/IlvB488e3m8BZIL0k6U7RNDzkhtfQupr
cXgszEkKZ++mAyc7mC/TblZEYwyi9nEvZdroKvqZTiHeSOqqialJe0aVoozOKneg
4wzwzsavTcS9p9SaK6uXA5lGIE8eEkzwsq8awIVigMVcbFshtvvFB4fwt1A8xuy1
jJdANDPIDTmP8FmmICrSXEgp7DiySuw4PpbiZsk0XCzKHfed8ol7LJD89Dcurmgh
AV3sqOvauTwRrU19vESEj8TRqKEN44fxHezM0M+RVmUy5w+xSFPpavrbZY+XLRCsmQIDAQAB
-----END PUBLIC KEY-----

Список файловых расширений, подвергающихся шифрованию:
.$$$, .[0-9]+, .~ini, .~klt, .1cd, .1cd2, .1cl, .1ey, .1txt, .2, .2cd, .6t[0-9]*, .6tr, .7z, .7zip, .8t0, .8tr, .9tr, .a2u, .a3d, .aad, .abd, .accdb, .adb, .adi, .afd, .ai, .als, .amp, .amr, .ans, .apc, .apk, .apx, .arc, .arch, .arh, .arj, .atc, .atg, .ava, .avhd, .avhdx, .awr, .axx, .bac[0-9]*, .backup, .bak, .bck, .bco, .bcp, .bde, .bdf, .bdf, .bf, .bf3, .bg, .bip, .bkc, .bkf, .bkp, .bks, .blb, .blf, .blk, .bln, .bls, .bls, .bmp, .box, .bpl, .bpn, .btr, .burn, .bz, .bz2, .car, .cbf, .cbm, .cbu, .cdb, .cdr, .cdx, .cer, .cf, .cfl, .cfu, .cia, .cmt, .cnc, .cpr, .cr2, .cripted, .criptfiles, .crypt, .csv, .ctl, .ctlg, .cuc, .cui, .cuix, .custom, .dafile, .data, .db, .db[0-9]*, .dbf, .dbk, .dbs, .dbt, .dbx, .dcf, .dcl, .dcm, .dct, .dcu, .dd, .ddf, .ddt, .dfb, .dff, .dfp, .dgdat, .dic, .diff, .dis, .djvu, .dmp, .doc, .docx, .dot, .dpr, .dproj, .drs, .dsus, .dt, .dtz, .dump, .dwg, .dz, .ect, .edb, .efd, .efm, .eif, .elf, .eml, .enc, .enz, .epf, .eps, .erf, .ert, .esbak, .esl, .eso, .etw, .export, .fbf, .fbk, .fdb, .fdb[0-9]*, .fi, .fil, .fkc, .fld, .flx, .fob, .fpf, .fpt, .frf, .frm, .frp, .frw, .frx, .fxp, .gbk, .gbp, .gd, .gdb, .gdoc, .gfd, .gfo, .gfr, .gho, .ghost, .ghs, .gif, .gopaymeb, .gpd, .granit, .grd, .gsheet, .gsn, .gz, .gzip, .hbi, .hbk, .hdf, .his, .hive, .htm, .html, .ib, .idf, .idx, .ifm, .ifo, .ifs, .ima, .img, .imgc, .imh, .imm, .indd, .info, .ipa, .ips, .irsf, .irsi, .irss, .iso, .isz, .iv2i, .jbc, .jpeg, .jpg, .jrs, .kdc, .keg, .key, .klt, .kmn, .kpm, .kwm, .laccdb, .last, .lay6,  .lbl, .ldb, .ldf, .ldif, .ldw, .lg, .lgd, .lgf, .lgp, .lic, .lis, .lky, .lnk, .local, .lock, .lrv, .lsp, .lst, .lvd, .lzh, .m2v, .mac, .mak, .map, .max, .mb, .mbox, .mcx, .md, .md5, .mdb, .mde, .mdf, .mdmp, .mdt, .mdw, .mdx, .meb, .mft, .mig, .mkd, .mnc, .mnr, .mns, .mod, .mov, .msf, .mtl, .mxl, .mxlz, .mxlz, .myd, .myi, .n[0-9]*, .nag, .nbi, .nbk, .nbr, .nc, .nd[0-9]*, .ndf, .ndt, .nef, .new, .nif, .nrg, .nsf, .ntx, .nvram, .obf, .ods, .odt, .ogd, .ok, .okk,  .old, .one, .onetoc2, .ora, .ord, .ost, .out, .ovf, .oxps, .p12, .packed, .pak, .pas, .paycrypt@gmail_com, .pbd, .pbf, .pck, .pdf, .pdt, .pf, .pfi, .pfl, .pfm, .pfx, .pgd, .pgp, .php, .pka, .pkg, .pkr, .plague17, .plan, .plb, .pln, .plo, .pm, .pml, .png, .pnl, .ppd, .ppsx, .ppt, .pptx, .prb, .prg, .prk, .profile, .prv, .ps1, .psd, .psl, .pst, .pwd, .pwm, .px, .py, .q1c, .qib, .qrp, .qst, .rar, .rbf, .rcf, .rdf, .rec, .rep, .repx, .req, .res, .rez, .rgt, .rk6, .rn, .rpb, .rpt, .rst, .rsu, .rtf, .rvs, .sac, .sacx, .save, .saved, .sbin, .sbk, .sbp, .scn, .sct, .scx, .sdb, .sdf,  .sdl, .sel, .sem, .sfpe, .sfpz, .sgn, .shd, .shdb, .shdl, .shs, .skr, .sln, .smf, .smfx, .sna, .snp, .sob, .sobx, .spr, .sql, .sqlite, .sqm, .sqx, .srx, .ssd, .ssf, .ssp, .sst, .st[0-9]*, .stm, .stop, .str, .sv2i, .svc, .svp, .tab, .tar, .tbb, .tbc, .tbh, .tbi, .tbk, .tbl, .tbn, .tdb, .tgz, .thm, .tib, .tid, .tmf, .tmp, .tmp0, .tnx, .tpl, .tps, .trc, .trec, .trn, .tst, .twd, .txt, .ua_, .udb, .unf, .upd, .utf, .v2i, .v8i, .vault, .vbe, .vbk, .vbm, .vbx, .vct, .vcx, .vdb, .vdi, .ver, .vhd, .vhdx, .vib, .viprof, .vlx, .vmcx, .vmdk, .vmem, .vmp, .vmpl, .vmrs, .vmsd, .vmsn, .vmss, .vmx, .vmxf, .vpc, .vrd, .vrfs, .vsd, .vsv, .vswp, .vvr, .vvv, .wallet, .war, .wav, .wbcat, .wbverify, .wid, .wim, .wnw, .wrk, .wsb, .xch, .xg0, .xls,  .xlsb, .xlsm, .xlsx, .xml, .xsc, .xsd, .xstk, .xtbl, .xxx, .xz, .yg0, .ytbl, .zip, .zrb, .zsp, .zup (535 англоязычных расширений) и одно русскоязычное расширение .БРОНЬ

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы 1С, базы других программ, файлы прикладных и специализированных программ, фотографии, некоторые типы файлов музыки и видео, файлы образов, архивы, бэкапы и пр. В списке есть также расширения, которые раньше добавляли к файлам другие шифровальщики. 

Пропускаются файлы с расширениями: 
.aes, .ani, .avi, .cab, .cpl, .cur, .dat, .deskthemepack, .diagcab, .diagpkg, .dll, .dmp, .docm, .drv, .exe, .hlp, .icl, .ico, .icons, .mp3, .mp4, .msp, .msstyles, .mui, .ocx, .rtp, .settingcontent-ms, .sys, .themepack и другие. 

Файлы, связанные с этим Ransomware:
Dont_Worry.txt
dwintl_x64.exe
gwintl.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\Startup\ ->
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt
C:\Users\User_Name-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt
C:\Users\User_Name-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: wog@onionmail.info
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: высокая.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

AMBA Family (семейство Plague17 / AMBA):
Plague17 (2014-2016) Ransomware - март 2014-январь 2019
AMBA Ransomware - июнь, сентябрь 2016
Crypto_Lab Ransomware - сентябрь 2017
Russenger Ransomware - февраль 2018
Dont_Worry Ransomware - март-апрель 2018 и позже
Plague17 (2019) Ransomware - май 2018-август 2019 и позже



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 20 мая 2018:
Пост в Твиттере >>
Расширение: .UPS-<random_ID>
Email: ups@torbox3uiot6wchz.onion
Записка: Dont_Worry.txt или README.txt в более новых атаках
Файл: dwintl.exe, myfile.exe
Результаты анализов: VT + HA + VMR
DrWeb -> Trojan.Encoder.14940
ESET-NOD32 -> A Variant Of Win32/Filecoder.Russenger.A
Microsoft -> Ransom:Win64/Filecoder.BB!MTB
---
➤ Содержание записки о выкупе:

Вся Ваша информация на этом компьютере была зашифрована.
Для расшифровки вам нужно выполнить несложные действия:
1. Скачайте по ссылке тор-браузер, установите его:
https://www.torproject.org/download/download-easy.html
2. Откройте тор-браузер, перейдите по адресу и зарегистрируйте себе e-mail:
http://torbox3uiot6wchz.onion/signup-en.php
3. Войдите в почтовый ящик:
http://torbox3uiot6wchz.onion/sm/
4. Напишите письмо на e-mail:
e-mail: ups@torbox3uiot6wchz.onion 
Укажите в письме ваш код для разблокировки: ***
5. Ждите ответ.
Учтите, что письма с обычных email - мы не получим, кроме тех, которые есть в этом списке:
http://torbox3uiot6wchz.onion/relay-en.php





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Alex Svirid, Andrew Ivanov
 (victim in the topics of support)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 30 марта 2018 г.

H34rtBl33d

H34rtBl33d Ransomware

HeartBleed Ransomware

D3G1D5Crypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные сайтов и серверов, а затем требует выкуп в ~ 0.1337 BTC - 0.05 BTC, чтобы вернуть файлы. Оригинальное название: H34rtBl33d (упоминается в тексте вымогателей) и H34rtBl33d Ransomware. Выявлена связь с вымогателем (вымогателями), которые разрабатывали Halloware Ransomware. Разработчик-вымогатель или его посредник в данном случае имеет ник: D3g1d5 Cyber Crew (D3G1D5 Cyber Crew, D3G1D5CYBERCREW). Файл подписан: [!]DnThirteen™ D3G1D5 Cyber Crew. Страна: Индонезия. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: ранние проекты > HallowareKNTLCrypt, D3G1D5Crypt, H34rtBl33d, DnThirTeen (Dn13)ScorpionLocker

К зашифрованным файлам добавляются расширения 
.H34rtBl33d
.d3g1d5 
или новые.

Этимология названия:
В названии H34rtBl33d скрыты английские слова Heart Bleed. Это подтверждает своеобразный логотип, стилизованный под истекающую кровью фразу. 

Активность этого крипто-вымогателя пришлась на конец марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
H34rtBl33d.txt
H34rtBl33d.html
H34rtBl33d.bmp
Содержание текстовой записки о выкупе:
This Is Your Personal Key : RDNHMUQ1Q1lCRVJDUkVXUENQQ2FkbWluTVRjNFFrWkNSa1l3TURBek1EWkR*****
Pay Some Money To Recover Your Data, Zuahahahaha!


Содержание HTML записки о выкупе:
All Your File At Your Computer Has Been Encrypted By H34rtBl33d~
Contact Me For Decrypter Key : 
http://trl74246phm5t2gn.onion.to
Who Am I? :
[!]DnThirTeen - JCOder - WongTani

Содержание BMP записки о выкупе:
 
Скриншоты с Рабочего стола

Также используется BalloonTips — системная функция всплывающих подсказок в области уведомлений, которая показывает всплывающие "пузыри" с текстом вымогателей в панели уведомлений Windows.  

Содержание текстов из уведомлений:
Error! Your file could not be opened
Please Decrypt Your File Using H34rtBl33d Decrypter
-
Want Your Files Back? Click here
Find out here about H34rtBl33d Decrypter and how to return it click here
-
cheaper than wannacry!
H34rtBl33d very good ransomware in the world
-
Ransomware With Cheapest Ransom!
FACT! Ransomware that has infected your computer turned out RANSOMWARE WITH THE LOWEST CHOICE. Want your file back? Click here
-
Go Home Kidz, Zuahahaha!
-
Pay Some Money To Recover Your Data, Zuahahahaha!

Перевод текстов на русский язык:
Ошибка! Не удалось открыть файл.
Расшифруйте файл с помощью H34rtBl33d декриптер
-
Хотите вернуть свои файлы? Кликните сюда
Узнайте здесь о H34rtBl33d декриптере и о том, как вернуть это, здесь.
-
дешевле, чем wannacry!
H34rtBl33d лучший выкуп в мире
-
Ransomware с самым дешевым выкупом!
ФАКТ! Ransomware, заразивший ваш компьютер, оказался RANSOMWARE С САМЫМ НИЗКИМ ВЫБОРОМ. Хотите вернуть свой файл? Кликните сюда
-
Идите домой дети, Зуахахаха!
-
Заплатите немного денег, чтобы вернуть ваши данные, Зуахахахаха!


Скриншот с сайта вымогателей:
Содержание текста с сайта scorpionlocker.xyz:
(Уж не знаю, этот сайт был скомпрометирован или вымогатели сами себя так преподносят).
Your Data Have Been Encrpyted
                        /\
                        ||
                        ||
                        ||
                        ||                                               ~-----~
                        ||                                            /===--  ---~~~
                        ||                   ;'                 /==~- --   -    ---~~~
                        ||                (/ ('              /=----         ~~_  --(  '
                        ||             ' / ;'             /=----               \__~
     '                ~==_=~          '('             ~-~~      ~~~~        ~~~--\~'
     \\                (c_\_        .i.             /~--    ~~~--   -~     (     '
      `\               (}| /       / : \           / ~~------~     ~~\   (
      \ '               ||/ \      |===|          /~/             ~~~ \ \(
      ``~\              ~~\  )~.~_ >._.< _~-~     |`_          ~~-~     )\
       '-~                 {  /  ) \___/ (   \   |` ` _       ~~         '
       \ -~\                -<__/  -   -  L~ -;   \\    \ _ _/
       `` ~~=\                  {    :    }\ ,\    ||   _ :(
        \  ~~=\__                \ _/ \_ /  )  } _//   ( `|'
        ``    , ~\--~=\           \     /  / _/ / '    (   '
         \`    } ~ ~~ -~=\   _~_  / \ / \ )^ ( // :_  / '
         |    ,          _~-'   '~~__-_  / - |/     \ (
          \  ,_--_     _/              \_'---', -~ .   \
           )/      /\ / /\   ,~,         \__ _}     \_  "~_
           ,      { ( _ )'} ~ - \_    ~\  (-:-)       "\   ~ 
                  /'' ''  )~ \~_ ~\   )->  \ :|    _,       " 
                 (\  _/)''} | \~_ ~  /~(   | :)   /          }
                <``  >;,,/  )= \~__ {{{ '  \ =(  ,   ,       ;
               {o_o }_/     |v  '~__  _    )-v|  "  :       ,"
               {/"\_)       {_/'  \~__ ~\_ \\_} '  {        /~\
               ,/!          '_/    '~__ _-~ \_' :  '      ,"  ~ 
              (''`                  /,'~___~    | /     ,"  \ ~' 
             '/, )                 (-)  '~____~";     ,"     , }
           /,')                    / \         /  ,~-"       '~'
       (  ''/                     / ( '       /  /          '~'
    ~ ~  ,, /) ,                 (/( \)      ( -)          /~'
  (  ~~ )`  ~}                   '  \)'     _/ /           ~'
 { |) /`,--.(  }'                    '     (  /          /~'
(` ~ ( c|~~| `}   )                        '/:\         ,'
 ~ )/``) )) '|),                          (/ | \)                 
  (` (-~(( `~`'  )                        ' (/ '
   `~'    )'`')                              '
     ` ``
If You Need Your Data Back You Need To
Pay Us 0.1337 Bitcoins Hehehe
Contact: torbox3uiot6wchz.onion create a account here and email us blackpanda007@torbox3uiot6wchz.onion
Your Data Is Safe When You Pay Us We Will Give You Key And You Can Unencrpyt Your Data
////////////////////////////// All Hope Is Gone \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
Heart Bleed
//////////////////////////////// [ Login ] \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

Перевод текста на русский язык:
Ваши данные были закодированы
Если вам нужны ваши данные назад, вам нужно
Заплатить нам 0.1337 биткоинов Хехехе
Контакт: torbox3uiot6wchz.onion создайте здесь учетную запись и напишите нам на blackpanda007@torbox3uiot6wchz.onion
Ваши данные безопасны, когда вы платите нам. Мы дадим вам ключ, и вы можете расшифровать ваши данные
/// Надежды больше нет \\\
Heart Bleed
/// [ Login ] \\\

Фон показался мне знакомым и я сравнил его с Halloware Ransomware. См. там текст с ошибками и блок обновлений, где страшный зайчик переместился на такой же фон. Более того, ошибки в словах оказались прежними: слова Encrpyted и Unencrpyt



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP (архивный файл помещается в корневую директорию, а затем открывается). Может также начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Имеется множество интересных функций: попытка заразить файлы, распространять их через P2P с помощью файлообменника Limewire, попытка добавлять копию Ransomware в RAR-файлы, использование BalloonTips (функция всплывающих подсказок в области уведомлений), отправка информации о заражении на 3 email-адреса, разговор с сервером...

➤ Не обходит UAC. Требуется разрешение на запуск. 

➤ Удаляет теневые копии файлов на всех локальных дисках, отключает функции восстановления и исправления Windows на этапе загрузки, добавляет пользователей D3g1d5 и Dwixtkj37 в группу пользователей, а затем добавляет D3g1d5 в группу администраторов, используя команды:
vssadmin delete shadows /for=c: /all /quiet
vssadmin delete shadows /for=d: /all /quiet
/C bcdedit /set {bootmgr} displaybootmenu no
/C Net localgroup Administrators D3g1d5 /add
/C Net user D3g1d5 Dwixtkj37 /add

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .BAK, .bak, .bat, .bmp, .brd, .config, .css, .doc, .gif,  .htm, .html, .jpeg, .jpg, .js, .key, .lay, .lay6, .ldf, .log, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .msi, .onetoc2, .pdb, .php, .phtml, .png, .pst, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sql, .sqlite3, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .txt, .wmv, .xml (75 расширения) и другие.
Это документы MS Office, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов и пр.

Файлы, связанные с этим Ransomware:
DnThirTeen.exe (DnThirteen или Dn13)
D3g1d5.zip
d3g1d5.exe
\H34rtBl33d\H34rtBl33d.exe
\H34rtBl33d\d3g1d5.zip
H34rtBl33d.exe
H34rtBl33d.html
H34rtBl33d.bmp
H34rtBl33d.txt
rar.exe
autorun.inf
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
%AppData%\H34rtBl33d\H34rtBl33d.exe
C:\Users\admin\AppData\Local\H34rtBl33d\H34rtBl33d.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
➤ URL: xxxx://scorpionlocker.xyz/ - главный сайт, который ранее принадлежал вымогателям, распространявшим ScorpionLocker Ransomware
xxxx://scorpionlocker.xyz/h34rtbl33d - поддиректория
xxxx://h34rtbl33d.scorpionlocker.xyz - C2
Tor-URL: xxxx://trl74246phm5t2gn.onion.to/
➤ Email на сайте: blackpanda007@torbox3uiot6wchz.onion
➤ Email-отправитель: h34rtbl33d@0day.today
Email-получатели: btc.fresh01@gmail.com
unixc47@gmail.com
d3g1d5@gmail.com
khiwosang@gmail.com
➤ Скомпрометированный сайт: xxxx://www.stevenahoy.esy.es/
Файлы имеют расширения .d3g1d5
➤ D3g1d5 Cyber Crew в Интернете: 
xxxxs://www.facebook.com/D3g1d5.Cyber.Crew/
xxxxs://www.instagram.com/explore/locations/1020398306/d3g1d5-cyber-crew/
xxxx://d3-g1d5.blogspot.com/2014/09/gta-iv-for-pc-full-crack.html
➤ сайт проекта KNTLCrypt (на индонезийском)
xxxx://vtqvjjoarqagdro7.onion/ - Konfirmasi Pembayaran KNTLCrypt
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


HallowareKNTLCrypt, D3G1D5Crypt, H34rtBl33d, DnThirTeen (Dn13), ScorpionLocker



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Stupid Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 Andrew Ivanov
 ANY.RUN
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *