WannaSpam

WannaSpam Ransomware

(спам-вымогатель, фейк-шифровальщик)
Translation into English

Этот спам-вымогатель в спам-письмах выдаёт себя за WannaCry, якобы шифрует как данные и требует выкуп в 0.1 BTC, угрожая стереть данные. Распространитель: WannaCry-Hack-Team. 

© Генеалогия: fake WannaCry >> WannaSpam


Внимание! Если вы получили одно из таких писем, просто нажмите в вашем почтовом ящике на "Удалить". Ничего плохого с вашим ПК не случилось, WannaCry не вернулся, ваши файлы не будут удалены, а это всего лишь афера. Ничего не шифруется. 


Заголовки таких писем могут отличаться друг от друга. Вот известные варианты со словами "Attantion":
!!!Attantion WannaCry!!!
!!!WannaCry-Team Attantion!!!
Attantion WannaCry
WannaCry Attantion!
WannaCry-Team Attantion!!!

Рассылка этого спам-вымогателя пришлась на вторую половину июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 

Скриншоты спам-писем от вымогателей

Содержание письма вымогателей:
From: WannaCry-Hack-team soetrisno.bachir@kein.go.id
Sent: 21 June 2018 10:36
To: ***
Subject: WannaCry Attantion!
---
Hello! WannaCry returned! All your devices were cracked with our program installed on them. We have made improvements for operation of our program, so you will not be able to regain the data after the attack.
All the information will be encrypted and then erased. Antivirus software will not be able to detect our program, while firewalls will be impotent against our one-of-a-kind code.
Should your files be encrypted, you will lose them forever.
Our program also outspreads through the local network, erasing data on all computers connected to the network and remote servers, all cloud-stored data, and freezing website operation. We have already deployed our program on your devices.
Deletion of your data will take place on June 22, 2018, at 5:00 - 10:00 PM. All data stored on your computers, servers, and mobile devices will be destroyed. Devices working on any version of Windows, iOS, macOS, Android, and Linux are subject to data erasion.
In order to ensure against data demolition, you can pay 0.1 BTC (~$650) to the bitcoin wallet:1Mvz5SVStiE6M7pdvUk9fstDn1vp4fpCEg
You must pay in due time and notify us about the payment via email until 5:00 PM on June 22, 2018. After payment confirmation, we will send you instructions on how to avoid data erasion and such situations in future. In case you try to delete our program yourself, data erasion will commence immediately.
To pay with bitcoins, please use localbitcoins.com or other similar services, or just google for other means. After payment write to us: [support_wc@bitmessage.ch](mailto:support_wc@bitmessage.ch)

Перевод письма на русский язык:
From: WannaCry-Hack-team soetrisno.bachir@kein.go.id
Sent: 21 June 2018 10:36
To: ***
Subject: WannaCry Внимание!
---
Привет! WannaCry вернулся! Все ваши устройства были взломаны нашей программой, установленной на них. Мы улучшили работу нашей программы, поэтому после атаки вам не удастся восстановить данные.
Вся информация будет зашифрована, а затем стерта. Антивирусная программа не сможет обнаружить нашу программу, в то время как брандмауэры будут бессильны против нашего единственного в своем роде кода.
Если ваши файлы будут зашифрованы, вы потеряете их навсегда.
Наша программа также распространяется через локальную сеть, удаляя данные на всех компьютерах, подключенных к сети и удаленных серверах, всех облачных данных и замораживая работу сайта. Мы уже развернули нашу программу на ваших устройствах.
Удаление ваших данных состоится 22 июня 2018 года в 5:00 - 22:00. Все данные, хранящиеся на ваших компьютерах, серверах и мобильных устройствах, будут уничтожены. Устройства, работающие с любой версией Windows, iOS, MacOS, Android и Linux, подвержены стиранию данных.
Чтобы обеспечить защиту от разрушения данных, вы можете заплатить 0.1 BTC (~$650) на биткоин-кошелек: 1Mvz5SVStiE6M7pdvUk9fstDn1vp4fpCEg
Вы должны заплатить вовремя и уведомить нас об оплате по email до 5:00 вечера 22 июня 2018 года. После подтверждения оплаты мы отправим вам инструкции о том, как избежать стирания данных и таких ситуаций в будущем. В случае, если вы попытаетесь удалить нашу программу самостоятельно, начнется немедленное уничтожение данных.
Чтобы заплатить биткоинами, используйте localbitcoins.com или другие подобные услуги или просто гуглите другие способы. После оплаты напишите нам: [support_wc@bitmessage.ch] (mailto: support_wc@bitmessage.ch)

Технические детали

Распространяется как email-спама. Не исключено использование вместе с таким письмом вредоносных вложений, ссылок на вредоносные сайты, обманных загрузок. Будьте разумны и бдительны! См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются, если, конечно, вы не скачаете что-то вредоносное. 

Файлы, связанные с этим Ransomware:
<malicious_attachment> - любое вложение в таких письмах вредоносное 
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: support_wc@bitmessage.ch
BTC: 1Mvz5SVStiE6M7pdvUk9fstDn1vp4fpCEg
16Tq8gaad5FJ3c6mrC86e1pmqQ666dYSvv
13AEiPcnqHRRwbJRUsPLbcgX3roTTPGSMu
15TxgGK5AMvdeupbcKbk3g36zctnS9ThnU
1FXZ9yoagBMnnrkZscQzKnC2hkgX5uDgUR
12TZJJ7818HLHVXhLCbNM1JfHHDpRZLDGv
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as WannaSpam)
 Write-up, Write-up, Write-up
 * 

 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KingOuroboros

KingOuroboros Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $30-$50-$80 в BTC, чтобы вернуть файлы. Название оригинальное. Написан на AutoIt. Фальш-имя: Java Update Scheduler. На файле написано: jusched.exe. 

© Генеалогия: CryptoWire + AutoTRON >> KingOuroboros

Изображение Короля-Уробороса. Это логотип статьи.

К зашифрованным файлам добавляется расширение .king_ouroboros, но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.king_ouroboros.original_file_extension. 
Пример зашифрованного файла: Chrysanthemum.king_ouroboros.jpg


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Примечательно, что участники группы, распространяющие этот шифровальщик, довольно часто снижают сумму выкупа для тех пострадавших, кто это просит, не имея указанной суммы в записке о выкупе. В июне 2018 сумма выкупа снижена аж до $30. Такая довольно небольшая плата за собственную безалаберность в компьютерных вопросах — очень редкое явление. Обычно вымогатели требуют выкуп по-максимуму и не идут на компромисс. 

Не хотите попадаться на выкуп? Это просто! Изучите мои статьи:

10 способов защиты от шифровальщиков-вымогателей

Лучшие базовые методы профилактики и защиты 

Ранняя активность этого крипто-вымогателя пришлась на вторую половину июня 2018 г. Потом были выпущены новые версии. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Имеется текстовая записка о выкупе, но она первоначально не была представлена исследователями. 

Запиской с требованием выкупа выступает блокировщик экрана с заголовком Delta.

Содержание текста с экрана:
Your files has been safely encrypted

---

Encrypted files: 276

**********

---

[Buy Bitcoins] [Decrypt Files] (Decryptionkey)

---

The only way you can recover your files is to buy a decryption key

The payment method is: Bitcoin. The price is: $50 = Bitcoins

After buying the amount of bitcoins send an email

to king.ouroboros@protonmail.com Your ID: *****

We will provide you with payment address and your decryption key.

You have 72 Hours to complete the payment otherwise your key will be deleted.

Перевод текста с экрана на русский язык:
Ваши файлы были безопасно зашифрованы

---

Зашифрованных файлов: 276

**********

---

[Купить биткойны] [Расшифровать файлы] (Ключ дешифрования)

---

Единственный способ восстановить ваши файлы - купить ключ дешифрования

Способ оплаты: биткоин. Цена: $50 в биткоинах

После покупки количества биткоинов отправьте email

на king.ouroboros@protonmail.com Ваш ID: *****

Мы предоставим вам платежный адрес и ключ дешифрования.

У вас есть 72 часа для завершения платежа, иначе ваш ключ будет удален.

Технические детали

При распространении выдаёт себя за Java Update Scheduler, что, разумеется, неправда. Вероятно, может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ UAC не обходит, требуется разрешение. 

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .aaf, .abw, .accdb, .aep, .aepx, .aet, .afsnit, .ai, .aif, .amf, .arc, .arw, .as, .asc, .asd, .asf, .ashdisc, .asm, .asp, .aspx, .asx, .au3, .aup, .avi, .bay, .bbb, .bdb, .bibtex, .bkf, .bmp, .bpn, .btd, .bw, .bz2, .c, .cdi, .cdr, .cer, .cert, .cfm, .cgi, .cin, .cpio, .cpp, .cr2, .crt, .crw, .csg, .csr, .cue, .dbf, .dcr, .dds, .dem, .der, .dib, .dmg, .dng, .doc, .docm, .docx, .dpx, .dsb, .dwg, .dxf, .dxg, .eddx, .edoc, .ei, .eml, .emlx, .eps, .eps, .epub, .erf, .exr, .fdf, .ffu, .flv, .gam, .gcode, .gho, .gpx, .gz, .h, .hbk, .hdd, .hdr, .hds, .himmel, .hpp, .icb, .icml, .ics, .idml, .iff, .img, .indb, .indd, .indl, .indt, .inx, .ipd, .iso, .isz, .iwa, .j2k, .jp2, .jpe, .jpeg, .jpf, .jpg, .jpm, .jpx, .jsp, .jspa, .jspx, .jst, .kdc, .key, .keynote, .kml, .kmz, .lic, .lwp, .lzma, .m3u, .m4a, .m4v, .ma, .max, .mbox, .md2, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mds, .mef, .metadata, .mid, .mos, .mov, .mp3, .mp4, .mpa, .mpb, .mpeg, .mpg, .mpj, .mpp, .mrw, .msg, .mso, .nba, .nbf, .nbi, .nbu, .nbz, .nco, .nef, .nes, .note, .nrg, .nri, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .off, .ogg, .one, .orf, .ova, .ovf, .oxps, .p12, .p2i, .p65, .p7, .p7b, .p7c, .pages, .pct, .pcx, .pdd, .pdf, .pef, .pem, .pfx, .php, .php3, .php4, .php5, .phps, .phpx, .phpxx, .phtm, .phtml, .pic, .pl, .plist, .pmd, .pmx, .png, .ppdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prproj, .ps, .psd, .pspimage, .pst, .ptx, .pub, .pvm, .qcn, .qcow, .qcow2, .qt, .r3d, .ra, .raf, .rar, .raw, .rgb, .rgbe, .rla, .rle, .rm, .rpf, .rtf, .rw2, .rwl, .s, .sbf, .set, .sgi, .skb, .slf, .sme, .smm, .snp, .spb, .sql, .sr2, .srf, .srt, .srw, .ssc, .ssi, .stg, .stl, .svg, .swf, .sxw, .syncdb, .tager, .tc, .tex, .tga, .thm, .tib, .tif, .tiff, .til, .toast, .torrent, .txt, .vbk, .vcard, .vcd, .vcf, .vda, .vdi, .vfs4, .vhd, .vhdx, .vmdk, .vob, .vsdx, .vst, .wav, .wb2, .wbk, .wbverify, .webm, .wmb, .wpb, .wpd, .wps, .x3f, .xdw, .xlk, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xml, .xqx, .xyze, .xz, .yuv, .zip, .zipx (316 расширений без дублей в верхнем регистре). Список обновлен 6 июля 2018. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Замечено, что шифруются также следующие файлы:.bak, .bin, .blf, .contact, .css, .dat, .db, .dot, .dotx, .etl, .feed-ms, .feedsdb-ms, .html, .jar, .js, .json, .LOG1, .onetoc2, .msi, .regtrans-ms, .tmp
Вероятно, что в новых версиях в список целевых файлов вносятся изменения.

Файлы, связанные с этим Ransomware:
README!!! ALL YOUR FILES HAVE BEEN SECURELY ENCRYPTED!!!.txt
jusched.exe
Help.lnk
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: king.ouroboros@protonmail.com
URL: xxxx://savemyfiles.pw
xxxx://orangepresident.pw
xxxx://5vlblodoct6ho26swnmxmemiab5mcpyanorzmhvm3nii6izomrbmc1nttexizgh.pw
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>

𝚺  VirusTotal анализ >> VT>>

ᕒ  ANY.RUN анализ >>

🐞 Intezer анализ >>

Ⓥ VirusBay образец >>

👽 AlienVault анализ >>

🔃 CAPE Sandbox анализ >>

ⴵ  VMRay анализ >>

⨇ MalShare анализ >>

⟲ JOE Sandbox анализ >>

Степень распространённости: средняя.

Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoWire - 27 октября 2016

Lomix - 24 ноября 2016

UltraLocker - 10 декабря 2016

Обновление CryptoWire - 3 марта 2017

Обновление CryptoWire - 5 апреля 2017

Обновление CryptoWire - 12 апреля 2017

Обновления CryptoWire позже не добавлялись

KingOuroboros - июнь 2018, обновление июнь-июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства. 

Обновление от 30 июня 2018:

По данным от Ultimate Decryption Team for Ouroboros. 

Вышла новая доработанная версия.

Email: king.ouroboros@tutanota.de

Визуальных информаторов жертвы теперь несколько:

1) файл: README!!! ALL YOUR FILES HAVE BEEN SECURELY ENCRYPTED!!!.txt

2) блокировщик экрана с заголовком And... It's back!

3) изображение, заменяющее обои Рабочего стола с надписью:

YOU FILES HAVE BEEN ENCRYPTED

READ TXT ON DESKTOP

4) экран входа в Windows

Скриншоты новых визуальных информаторов >>

➤ Содержание записки о выкупе:
All your files have been encrypted!

The encryption key has been sent online and is not public.

You have 10 days time to contact us or you will lose your data.

The only way you can recover your files is to buy a decryption key.

The payment method is: Bitcoins. The price is: $80 = 0.012 52899 Bitcoins

For instruction on recovery send an email to: king.ouroboros@tutanota.de

We will reply within 48 hours.

DO NOT USE ANY ANTIVIRUS PROGRAMS. YOU WILL NOT BE ABLE TO RECOVER YOUR FILES!

Include this ID in the email you send to us: 4037194142

Обновление от 6 июля 2018:
Email-1: king.ouroboros@protonmail.com
Email-2: king.ouroboros@tutanota.de (заблокирован)

Изменения:

Поменялось изображение, заменяющее обои Рабочего стола. 

Сумма выкупа изменена и зависит от числа зашифрованных файлов. 

Выкуп для бизнес-пользователей уменьшен. Максимум $160 за 70000 файлов и $250, если больше. 

Добавлены переводы на 12 языков целевых стран в экране блокировки: английский, германский, греческий, испанский, итальянский, нидерландский, польский, португальский, румынский, русский, турецкий, французский.

Добавлены новые расширения файлов, созданных в программах Adobe Premiere Pro, Adobe After Effects, Adobe InDesign. 

Скриншоты новых визуальных информаторов >>

➤ Содержание записки о выкупе:

All your files have been encrypted!

The encryption key has been sent online and is not public.

You have 10 days time to contact us or you will lose your data.

The only way you can recover your files is to buy a decryption key.

The payment method is: Bitcoins. The price is: 60$ USD = 0.00912944 Bitcoin

For instruction on recovery send an email to: king.ouroboros@tutanota.de

We will reply within 48 hours. If we don't reply send email to king.ouroboros@protonmail.com

DO NOT USE ANY ANTIVIRUS PROGRAMS. YOU WILL NOT BE ABLE TO RECOVER YOUR FILES!

Include this ID in the email you send to us: 4037194142

Обновление от 16 июля 2018:
Новая версия от KingOuroboros.

➤ Записок о выкупе теперь 12, т.е. на всех поддерживаемых языках. 

➤ Сумма выкупа уменьшена до $30.

Для бизнес-пользователей сумма выкупа осталась прежней, но теперь требуется заплатить $250 (максимум), если более 300000 файлов зашифровано. 

В список целей добавлены следующие типы файлов:

.dbf, .err, .fbk, .fdb, .fms, .gdb, .his, .ldf, .res, .sic, .sqe, .tb

Скриншоты новых визуальных информаторов >>

 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as CryptoWire)
 Write-up, Topic of Support
 * 

 Thanks: 
Michael Gillespie, MalwareHunterTeam
Andrew Ivanov
Ultimate Decryption Team for Ouroboros
 *

© Amigo-A (Andrew Ivanov): All blog articles.

CyberSCCP

CyberSCCP Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CyberSCCP. На файле написано: CyberSCCP.exe.

© Генеалогия: HiddenTear >> CyberSCCP

К зашифрованным файлам добавляется расширение: .CyberSCCP

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Files have been encrypted by CyberSCCP
Send me some bitcoin or COOOOOOKIEEEEESSS
And I also hate night clubs, desserts, being drunk. send email to me CyberSCCP@protonmail.com

Перевод записки на русский язык:
Файлы были зашифрованы CyberSCCP
Пришлите мне биткоин или ПЕЧЕНЬЕ
И я также ненавижу ночные клубы, десерты, пьяные. отправьте мне письмо на email CyberSCCP@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CyberSCCP.exe
READ_IT.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: CyberSCCP@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 A Shadow
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

JungleSec

JungleSec Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: JungleSec (указано в заголовке записки о выкупе). Вероятно, что предназначен только для Linux-систем. Как оказалось позже: для Windows, Linux и Mac.

© Генеалогия: выясняется.

Это изображение только логотип статьи

К зашифрованным файлам добавляется расширение: .jungle@anonymousspechcom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ENCRYPTED.md 

Содержание записки о выкупе:
───────────────────────────────────────────────────
JUNGLESEC
───────────────────────────────────────────────────
What happen to my data ?
-----------------------
Your data are encrypted. If you try to bruteforce, change the path, the name or do anything that can alterate a single byte of a file(s) will result
to a fail of the recovery process, meaning your file(s) will be loss for good. 
How can I retrieve them ?
-------------------------
- To known the process, you must first send 0.3 bitcoin to the following address : 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
- Once the payment made, send your email address to junglesec@anonymousspeech.com, do not forget to mention the IP of server/computer
Will you send the process recovery once payment is made ?
--------------------------------------------------------
- We have no interest to not send you the recovery process if payment was made.
- Once the payment is made, you should receive the recovery process to decrypt your data in less 24 hours
By Jungle_Sec

Перевод записки на русский язык:
Что случилось с моими данными?
-----------------------
Ваши данные зашифрованы. Если вы попытаетесь выполнить команду brutforce, измените путь, имя или сделайте всё, что может изменить один байт файла (ов), это приведёт к сбою процесса восстановления, что означает, что ваш файл (ы) будет потерян для хорошего.
Как я могу их получить?
-------------------------
- Чтобы узнать о процессе, вы должны сначала отправить 0.3 биткойна на следующий адрес: 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
- После внесения платежа отправьте свой email-адрес на junglesec@anonymousspeech.com, не забудьте указать IP-адрес сервера / компьютера
Вы отправите процесс восстановления после того, как будет произведен платеж?
-------------------------------------------------- ------
- У нас нет интереса не отправлять вам процесс восстановления, если оплата была произведена.
- После того, как платеж будет произведён, вы должны получить процесс восстановления для дешифрования своих данных менее чем за 24 часа
Jungle_Sec

Технические детали

JungleSec заражает ПК через незащищенные карты IPMI (Intelligent Platform Management Interface). IPMI - это интерфейс управления, встроенный в материнские платы сервера или установленный как дополнительная карта, которая позволяет администраторам удаленно управлять компьютером, включать и выключать их, получать системную информацию и получать доступ к KVM, который предоставляет удаленный консольный доступ. Это полезно для управления серверами, особенно при аренде серверов у другой компании в удаленном центре размещения. Однако, если интерфейс IPMI настроен неправильно или использует пароли от производителя (по умолчанию), это может позволить злоумышленникам удаленно подключиться к вашим серверам и получить контроль над ними с использованием учетных данных по умолчанию.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует программу шифрования ccrypt. После загрузки ccrypt, злоумышленники вручную запускают его для шифрования файлов жертвы. Команда, используемая злоумышленниками, вроде следующей:
/usr/local/bin/ccrypt -e -f -S junglesec@anonymousspeechcom -s -r -l /var/lib

После ввода этой команды злоумышленник вводит пароль, который затем будет использоваться для шифрования файлов.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ENCRYPTED.md 
key.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: junglesec@anonymousspeech.com
BTC: 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 марта 2020:
Пост в Твиттере >>
Расширения (без точек): junglesec@secmailpro
junglesec_secmailpro
Email: junglesec@secmail.pro
BTC: 1JHc83yqwnxt99f7VWJJbpfSzemnMRyj9p
Записка: ENCRYPTED.md 

➤ Содержание записки:
________________________
JUNGLESEC
________________________
/* WARNING */ :
If you do not want to lose the single data, do not attempt to reboot, shutdown or hot kill any working process :
- Doing so could result to a break and make not possible the recovery of one or multiples files.
/* WARNING */
I) What happen to my data ?
___________________________
Your data are encrypted. If you try to bruteforce, change the path, the name or do anything that can alterate a single byte of a file(s) will most likely corrupt
it and made the recovery process not possible anymore, meaning your file(s) will be lost for good.
II) How can I retrieve them ?
________________________
- To known the process, you must first send 1.7 bitcoin to the following address : 1JHc83yqwnxt99f7VWJJbpfSzemnMRyj9p
- Once the payment made, send your email address to junglesec@secmail.pro, do not forget to mention the IP of server/computer
III) Will you send the process recovery once payment is made ?
_______________________________________________________________
- We have no interest to not send you the recovery process if payment is made.
- We can if requested, decrypt one file to prove that the recovery process is working. The file must not exceed 5MB and shall be upload to https://file.io
- Once the payment is made, you should receive the recovery process to decrypt your data in less 24 hours.
IV) Will you leak any data on internet ?
__________________________________________
- If payment is made, your data will not be leaked, otherwise, they made be leak or sell on the darknet
V) Can you tell us how this hack happened ?
___________________________________________
- In case you are in the dark on how this security problem did happen, you may ask for details, we will provide you the step by step what we did.
No supplementary bitcoin is required (this is only available if you have paid the ransom).
By Jungle_Sec

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as JungleSec)
 Write-up, Topic of Support
 * 

Added later: 
JungleSec Ransomware... (add. December 26, 2018)

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.