RandomLocker

RandomLocker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: RandomLocker. На файле написано: Ransomware.exe. 👾

© Генеалогия: выясняется. 

К зашифрованным файлам добавляется расширение .rand

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступают изображение, встающее обоями Рабочего стола. 

Другим информатором жертвы выступает экран блокировки с таймером:

Содержание текста о выкупе:
Ooops, your files have been encrypted!
Encryption was produced using unique key generated for this computer.
To decrypt files, you need to otbtain private key.
The single copy of the private key, with will allow you to decrypt the files, is located on a secret server on the internet;
The server will destroy the key within 24 hours after encryption completed.
Payment have to be made withinn 24 hours
To retrieve the private key, you need to pay 10$ in BTC
Bitcoins have to be sent to this address: 3GPg3tgwZakR5uTELzjMJRj1NarxHH9YdJ
After you've sent the payment send us an email to randomlocker@tuta.io with subject: UNLOCK ***
If you are not familiar with bitcoin you can buy it from here:
SITE: www localbitcoin.com
After we confirm the payment, we will send the private key so you can decrypt your system.
---
FILES DELETED IN
01:58:24
About bitcoin
How to buy bitcoins?
Show Encrypted Files
Contact Us
[***] [Decrypt]

Перевод текста на русский язык:
Упс, ваши файлы были зашифрованы!
Шифрование сделано с уникальным ключом, созданным для этого компьютера.
Чтобы расшифровать файлы, вам нужно получить закрытый ключ.
Единственная копия закрытого ключа, позволяющая расшифровать файлы, находится в секрете в Интернете;
Сервер уничтожит ключ в течение 24 часов после завершения шифрования.
Оплата должна быть произведена в течение 24 часов
Чтобы получить закрытый ключ, вам надо заплатить 10$ в BTC
Биткоины должны быть отправлены на этот адрес: 3GPg3tgwZakR5uTELzjMJRj1NarxHH9YdJ
После отправки платежа отправьте нам письмо на randomlocker@tuta.io с темой: UNLOCK ***
Если вы не знакомы с биткоином, вы можете купить его здесь:
САЙТ: www localbitcoin.com
После подтверждения оплаты мы отправим секретный ключ, чтобы вы могли расшифровать свою систему.
---

ФАЙЛЫ УДАЛЯТСЯ
01:58:24
О биткоинах
Как купить биткоины?
Показать зашифрованные файлы
Связь с нами
[***] [Дешифровать]

У данного вымогателя имеется опция настройки, через которую вводится код разблокировки и расшифровываются файлы на компьютере. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: randomlocker@tuta.io
BTC: 3GPg3tgwZakR5uTELzjMJRj1NarxHH9YdJ
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RandomLocker)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

UselessFiles

UselessFiles Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: UselessFiles. На файле написано: UselessFiles.exe и EXPLORER.EXE.

© Генеалогия: UselessDisk > UselessFiles

К зашифрованным файлам добавляется расширение .UselessFiles

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops,your files hava been encrypted!
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily.
But if you want to decrypt all your files, you need to pay.
How Do I Pay?
Payment is accepted in Bitcoin only.Please check the current price of Bitcoin and buy some bitcoins.And send the correct amount to the address specified in this window.Once the payment is checked, you can start decrypting your files immediately.
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!
Send $300 worth of bitcoin to this address:
1GZCw453MzQr8V2VAgJpRmKBYRDUJ8kzco
[Copy]
[Check Payment]

Перевод записки на русский язык:
Упс, ваши файлы были зашифрованы!
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов теперь не доступны, т.к. они были зашифрованы. Возможно, вы ищете способ восстановить свои файлы, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы расшифровки.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко.
Но если вы хотите расшифровать все ваши файлы, вам нужно заплатить.
Как мне заплатить?
Оплата принимается только в биткоинах. Пожалуйста, проверьте текущую цену биткоина и купите немного биткоинов. И отправьте правильную сумму по адресу, указанному в этом окне. После того, как платеж будет проверен, вы сможете сразу начать дешифрование своих файлов.
Мы очень рекомендуем вам не удалять эту программу и на некоторое время отключить антивирус, пока вы не заплатите, и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, она не сможет восстановить ваши файлы, даже если вы заплатите!
Пошлите биткоины на $300 по этому адресу:
1GZCw453MzQr8V2VAgJpRmKBYRDUJ8kzco
[Copy]
[Check Payment]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
UselessFiles.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1GZCw453MzQr8V2VAgJpRmKBYRDUJ8kzco
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>   VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as UselessFiles)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KCW

KCW Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует веб-файлы (html, php) на взломанных сайтах, которые команда хакеров предварительно взломала. Затем атакующие выдвигают свои требования, прописанные в php-файле. Оригинальное название: KCW RaNsOMWarE. Атакующие: Team Kerala Cyber Warriors.

 Изображения, используемые хакерами

Для справки: 
Team Kerala Cyber Warriors или команда Kerala Cyber Warriors — это группа из 15 белых (этических) хакеров из штате Керала (Индия). Они начали работу как группа с таким названием в декабре 2015 года. С тех пор группа стала больше и они атакуют сайты, тематикой которых являются онлайн-проституция, порнография, насилие, педофилия, кроме этого также сайты всяческих извращенцев, секс-чатов, страницы таких групп в Facebook. Они передают данные владельцев сайтов в полицию и Главной задачей, которую они поставили перед собой, это очистить Facebook в Индии от вышеперечисленного. На их счету уже более 1000 сайтов, относящихся к Индии, Пакистану и к другим ближайшим странам. По разным национальным причинам Kerala Cyber Warriors также атакуют официальные и персональные сайты Пакистана и Бангладеш. В ответ на вопросы они отвечают, что "они первые начали атаковать индийские сайты". Члены группы называют себя кодовыми именами и делают то, что мы ожидаем от киберполиции...  Из описания и заявления этих хакеров.

© Генеалогия: предыдущие Ransomware от команды KCW.

К зашифрованным файлам добавляется расширение .kcwenc

Активность хакеров с использованием этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на сайты Пакистана. 

Запиской с требованием выкупа выступает экран блокировки: kcwdecrypt.php

Содержание записки о выкупе:
✗KCW RaNsOMWarE✗
 YOUR SITE IS INFECTED BY KCW RANSOMWARE 
 YOUR FILES HAVE BEEN ENCRYPTED 
 ENTER THE KEY TO DECRYPT FILES 
[   ]
We are Legion... We do not Forgive... We do not Forget... Expect us
GREETZ TO:
GH057_R007 | 8L4CK_P3RL | F0R81DD3N_H4CX3R | RED LIZARD | S3CU617Y_R1PP36 | 4N0N_5P1D3R | RED_LIZARD
CH@CH_4-RC7 | M3GA_M1ND | D0PP3l_64N63R | K1LL3R_C0BR4{PP} | C0D3_PH03N1X | 5H4D0W_HUN73r
B4HZ1 | 4S7R4 | V33R4PP4N | C47_HUN73R | CJ_N4P573R | 5H1VJ1_M4H4R4J | PH4N70M
>>>CONTACT KERALA CYBER WARRIORS<<<

Перевод записки на русский язык:
✗KCW RaNsOMWarE✗
  ВАШ САЙТ ЗАРАЖЁН KCW RANSOMWARE
  ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
  ВВЕДИТЕ КЛЮЧ ДЛЯ ДЕШИФРОВКИ ФАЙЛОВ
[   ]
Мы Легион ... Мы не прощаем ... Мы не забудем ... Ждите нас
ПРИВЕТЫ:
GH057_R007 | 8L4CK_P3RL | F0R81DD3N_H4CX3R | RED LIZARD | S3CU617Y_R1PP36 | 4N0N_5P1D3R | RED_LIZARD
CH@CH_4-RC7 | M3GA_M1ND | D0PP3l_64N63R | K1LL3R_C0BR4{PP} | C0D3_PH03N1X | 5H4D0W_HUN73r
B4HZ1 | 4S7R4 | V33R4PP4N | C47_HUN73R | CJ_N4P573R | 5H1VJ1_M4H4R4J | PH4N70M
>>> КОНТАКТ KERALA CYBER WARRIORS <<<

Технические детали

Распространяется путём взлома сайтов через уязвимости веб-сайтов, через незащищенную конфигурацию RDP. Могут использоваться email-спам и вредоносные вложения, обманные загрузки, эксплойты, веб-инжекты и прочие методы. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Целями являются только веб-файлы на взломанных сайтах: .html, .php

При открытии зашифрованных файлов может открыться следующее сообщение "ERROR 500 - INTERNAL SERVER ERROR". 


Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
kcwdecrypt.php

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://www.arainwelfare.org - взломанный сайт
xxxxs://www.facebook.com/KeralaCyberWarriors  - официальная страница
https://www.facebook.com/KeralaCyberWarriors/videos/509207089249328/ - страница с видео-демонстрацией
xxxxs://en.wikipedia.org/wiki/Kerala_Cyber_Warriors - вики о группе
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Группа Kerala Cyber Warriors также известна своими протестами против произвола, разных общественных организаций, чья деятельность носит противоречивый или аморальный характер. Вот несколько таких примеров. 
➤ Например, в августе 2016 года Kerala Cyber Warriors взломали сайт "People for Animals" (Люди для животных), принадлежащий организации под председательством министра юстиции Манеки Ганди, через два дня после того, как 65-летняя женщина была убита стаей из 50 бродячих собак в городе Тируванантапураме, столице штата Керала. Этот протест был ответной мерой против Манеки Ганди, убеждённого защитника запрета на убийство бездомных собак. Потом сайт был восстановлен. 

➤ В феврале 2017 года группа Kerala Cyber Warriors, состоящая уже из 28 членов, опубликовала подробную информацию о 35 страницах и 25 группах в Facebook, которые участвовали в распространении в Интернете аморальных и оскорбительных материалов порнографического содержания с участием женщин и несовершеннолетних и удалили весь их контент. 

Kerala Cyber Warriors назвала эту кибер-атаку операциями #OP_INDIA_ONLINE_PROSTITUTION & #OP_INDIA_SEX_CHATTING. После этого KCW разместила записку о взломе на этих страницах и группах.

KCW сказали, что они будут продолжать проводить подобные операции в будущем, т.к. в Facebook ещё есть более 10000 страниц связанных с детским порно. 

Хакеры после взлома размещают записи как от лица всей группы, так и персональные. Чаще я встречал следующий список группы. 

На следующем скриншоте можно видеть взломанную страницу секс-чата в Facebook. Хакер под именем GHO57_R007 (TINTU) вставил на этой странице заранее заготовленный им текст. 

Содержание этой записки:
HACKED BY GHO57_R007 (TINTU)
TEAM KERALA CYBER WARRIORS
#KERALACYBERWARRIORS
THIS PAGE HAS BEEN HACKED !! THIS IS OUR LAST WARNING.
WE WILL HUNT YOUR PROFILES, GROUPS AND SUCH PAGES RELATED TO SEX CHATTING AND ONLINE PROSTITUTION !!!!
BETTER STOP THIS BULLSHIT !!! WE WILL HACK YOU AND EXPOSE YOUR REAL FACE TO THE PUBLIC.
#OP_INDIAN_ONLINE_PROSTITUTION #OP_INDIAN_SEX_CHATTING
WE ARE: GH057_R007 | 8L4CX P3RL | MR.545 | F0R81DD3N H4CX3R | WHITE_DRAGON | RED LIZARD | C0D3_BR34K3R | S3CU617Y_R1PP36 | C0DE_ZER0 | AN0N R4NG3R | HACKER 13 | R007_SH3LL | 1R0N M4N | 4N0N 5P1D3R |AQU HAXOR
WE ARE LEGION
WE DO NOT FORGIVE
WE DO NOT FORGET
EXPECT US
Перевод на русский язык: 
ВЗЛОМАНО GHO57_R007 (TINTU)
TEAM KERALA CYBER WARRIORS
#KERALACYBERWARRIORS
ЭТА СТРАНИЦА БЫЛА ВЗЛОМАНА! ЭТО НАШЕ ПОСЛЕДНЕЕ ПРЕДУПРЕЖДЕНИЕ.
МЫ БУДЕМ ОХОТИТЬСЯ НА ВАШИ ПРОФИЛИ, ГРУППЫ И ТАКИЕ СТРАНИЦЫ, СВЯЗАННЫЕ С СЕКСОМ И ОНЛАЙН-ПРОСТИТУЦИЕЙ !!!!
ЛУЧШЕ ПРЕКРАТИТЕ ЭТУ ДЕРЬМО !!! МЫ БУДЕМ ВЗЛОМАТЬ ВАС И РАЗОБЛАЧИМ ВАШЕ НАСТОЯЩЕЕ ЛИЦО.
#OP_INDIAN_ONLINE_PROSTITUTION #OP_INDIAN_SEX_CHATTING
МЫ: GH057_R007 | 8L4CX P3RL | MR.545 | F0R81DD3N H4CX3R | WHITE_DRAGON | КРАСНАЯ ЯЩЕРИЦА | C0D3_BR34K3R | S3CU617Y_R1PP36 | C0DE_ZER0 | AN0N R4NG3R | ХАКЕР 13 | R007_SH3LL | 1R0N M4N | 4N0N 5P1D3R | AQU HAXOR
МЫ ЛЕГИОН
МЫ НЕ ПРОЩАЕМ
МЫ НЕ ЗАБЫВАЕМ
ЖДИТЕ НАС

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as KCW)
 Write-up, Topic of Support
🎥 Video review by BleepingComputer >>

 - видеодемонстрация от Kerala Cyber Warriors

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

HPE iLO Ransomware

HPE iLO Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные в серверных системах HPE iLO 4 с помощью RSA, а затем требует выкуп в 2 BTC, чтобы вернуть файлы. Оригинальное название: нет данных. 

© Генеалогия: HPE iLO Ransomware

👉 HPE iLO 4 (HPE Integrated Lights-Out) — интерфейс управления, встроенный в серверы HP, позволяющий администраторам удаленно управлять устройствами, подключаться к iLO с помощью web-браузера или мобильного приложения. После входа в систему администратор получает доступ к журналам, может перезагружать серверы, просматривать информацию и активировать удаленную консоль, обеспечивающую полный доступ к оболочке операционной системы.

Получив доступ к iLO злоумышленники активируют баннер безопасности входа, а затем монтируют удалённый ISO-образ. Когда этот образ будет установлен, он станет доступен как привод в операционной системе. Используя этот удалённый диск, злоумышленники запускают программу, которая будет шифровать диски компьютера. Когда это будет завершено, сервер будет рутован. 

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки "Security Notice", представляющий собой модифицированный злоумышленниками баннер системы безопасности:

Содержание текста о выкупе:
Security Notice
Hey. Your hard disk is encrypted using RSA 2048 asymmetric encryption. To decrypt files you need to obtain the private key.
It means We are the only ones in the world to recover files back to you. Not even god can help you. Its all math and cryptography .
If you want your files back, Please send an email to 15fd9ngtetwjtdc@yopmail.com.
We don't know who are you, All what we need is some money and we are doing it for good cause.
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter and write us again.
You can use of that bitcoin exchangers for transfering bitcoin.
https://localbitcoins.com
https://www.kraken.com
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.
Process:
1) Pay some BTC to our wallet address.(negotations almost impossible unless you are a russian citizen)
2) We will send you private key and instructions to decrypt your hard drive
3) Boom! You got your files back.
---
Demands 2 BTC
Send to 19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm

Перевод текста на русский язык:
Уведомление безопасности
Привет. Ваш жесткий диск зашифрован с асимметричным шифрованием RSA 2048. Чтобы расшифровать файлы, вам нужно получить секретный ключ.
Это значит, что мы единственные в мире, кто вернут вам файлы. Даже Бог не может вам помочь. Это всё математика и криптография.
Если вы хотите вернуть свои файлы, отправьте email на 15fd9ngtetwjtdc@yopmail.com.
Мы не знаем, кто вы, Все, что нам нужно, это деньги, и мы делаем это по уважительной причине.
Не паникуйте, если мы не ответим вам через 24 часа. Это означает, что мы не получили ваше письмо и ещё раз напишите.
Вы можете использовать этот биткоин-обменник для переноса биткоина.
https://localbitcoins.com
https://www.kraken.com
Пожалуйста, используйте английский язык в своих письмах. Если вы не говорите по-английски, воспользуйтесь https://translate.google.com, чтобы перевести свое письмо на английский язык.
Процесс:
1) Оплатите несколько BTC на наш кошелек. (Переговоры почти невозможны, если вы не являетесь российским гражданином)
2) Мы отправим вам секретный ключ и инструкции по расшифровке вашего жесткого диска
3) Бум! Вы вернули свои файлы.
---
Требуется 2 BTC
Отправить на 19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

✋ Никогда не нужно подключать устройство HPE iLO напрямую к Интернету. Вместо этого необходимо настроить доступ только через защищённую виртуальную частную сеть (VPN).

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 15fd9ngtetwjtdc@yopmail.com
BTC: 19ujGd4zqwoHitT2D1hF3BVf73vYVCvxcm
BTC-кошельки могут быть уникальными для каждой жертвы. 
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as HPE iLO Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 M. Shahpasandi
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Scarab-Oblivion

Scarab-Oblivion Ransomware

(шифровальщик-вымогатель)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

© Генеалогия: Scarab > Scarab семейство > Scarab-Oblivion
© Genealogy: Scarab > Scarab Family > Scarab-Oblivion

Это изображение — логотип статьи. Изображает скарабея с комком "OBLIVION".

This image is the logo of the article. It depicts a scarab with clod (ball) "OBLIVION".

К зашифрованным файлам добавляется расширение / Appends to encrypted files the extension:
.OBLIVION

Примеры зашифрованных файлов / Examples of encrypted files:
04tAldMu09wwbmX6edxQBDWgzY4.OBLIVION
APvs+Ui==EuUDruppb9kjgk=w5HlgzXo.OBLIVION
ue5SCHObWJVBkiMJ1 =+YovyDpidRH6yV.OBLIVION

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется / Name of ransom note: 
OBLIVION DECRYPTION INFORMATION.TXT

Содержание записки о выкупе / Contents of ransom note:
=======================================
OBLIVION 
=======================================
YOUR FILES ARE ENCRYPTED! 
Your personal ID
[324 hex chars]
Your documents, photos, databases, save games and other important data was encrypted. 
Data recovery the necessary decryption tool. To get the decryption tool, should send an email to:
obliviondecrypt@cock.li or obliviondecrypt@protonmail.com
Or telegram us:
https://t.me/oblivionhelp
Letter must include Your personal ID (see the beginning of this document).
In the proof we have decryption tool, you can send us 1 file for test decryption.
Next, you need to pay for the decryption tool. 
In response letter You will receive the address of Bitcoin wallet which you need to perform the transfer of funds.
If you have no bitcoins
* Create Bitcoin purse: https://blockchain.info
* Buy Bitcoin in the convenient way
https://localbitcoins.com/ (Visa/MasterCard)
https://www.buybitcoinworldwide.com/ (Visa/MasterCard)
https://en.wikipedia.org/wiki/Bitcoin (the instruction for beginners)
- It doesn't make sense to complain of us and to arrange a hysterics. 
- Complaints having blocked e-mail, you deprive a possibility of the others, to decipher the computers.
 Other people at whom computers are also ciphered you deprive of the ONLY hope to decipher. FOREVER.
- Just contact with us, we will stipulate conditions of interpretation of files and available payment, 
in a friendly situation
- When money transfer is confirmed, You will receive the decrypter file for Your computer. 
Attention! 
* Do not attempt to remove a program or run the anti-virus tools 
* Attempts to decrypt the files will lead to loss of Your data 
* Decoders other users is incompatible with Your data, as each user unique encryption key
=======================================

Перевод записки на русский язык:
=======================================
OBLIVION 
=======================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный ID
Ваши документы, фотографии, базы данных, сохранение игр и другие важные данные были зашифрованы.
Восстановление данных - необходимый инструмент дешифрования. Чтобы получить инструмент дешифрования, необходимо отправить электронное письмо по адресу:
obliviondecrypt@cock.li или obliviondecrypt@protonmail.com
Или telegram нам:
https://t.me/oblivionhelp
Письмо должно содержать ваш персональный ID (см. Начало этого документа).
В доказательстве у нас есть инструмент дешифрования, вы можете отправить нам 1 файл для тестового дешифрования.
Затем вам нужно заплатить за инструмент дешифрования.
В ответном письме вы получите адрес биткоин-кошелька, который вам нужен для перевода средств.
Если у вас нет биткоинов
* Создать биткоин кошелек: https://blockchain.info
* Купить биткоин удобным способом
https://localbitcoins.com/ (Visa/MasterCard)
https://www.buybitcoinworldwide.com/ (Visa/MasterCard)
https://en.wikipedia.org/wiki/Bitcoin (the instruction for beginners)
- Не имеет смысла жаловаться на нас и устраивать истерику.
- Жалобы, блокировки email, лишают возможности других расшифровать компьютеры.
  Других людей, у которых компьютеры тоже зашифрованы, вы лишаете ЕДИНСТВЕННОЙ надежды расшифровать. НАВСЕГДА.
- Просто свяжитесь с нами, мы предусмотрим условия дешифрования файлов и доступных платежей, в дружественной ситуации
- Когда денежный перевод подтвержден, вы получите декриптер для вашего компьютера.
Внимание!
* Не пытайтесь удалить программу или запустить антивирусные инструменты
* Попытки расшифровать файлы приведут к потере ваших данных
* Декодеры других пользователей несовместимы с вашими данными, поскольку каждый пользовательский ключ шифрования уникален 

Технические детали / Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware / Files of Rw:
OBLIVION DECRYPTION INFORMATION.TXT
<random>.exe - случайное название

Расположения / Files locations:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Email: obliviondecrypt@cock.li
obliviondecrypt@protonmail.com
Telegram: xxxxs://t.me/oblivionhelp
См. ниже результаты анализов.

Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
и другие

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware  (ID under Scarab)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.