Если вы не видите здесь изображений, то используйте VPN.

пятница, 5 октября 2018 г.

GarrantyDecrypt

GarrantyDecrypt Ransomware

GarrantyDecrypt NextGen Ransomware

Variants: DecryptGarranty, Protected, NOSTRO, Odin, Cosanostra, Cammora, Metan, Spyhunter, Tater, Zorin, Bigbosshorse, Heronpiston, Horsedeal, Azor, Razor

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: что попало.

Обнаружения:
DrWeb -> Trojan.Encoder.26484, Trojan.Encoder.26800, Trojan.DownLoader25.47109
BitDefender -> Generic.Ransom.GarrantDecrypt.*, DeepScan:Generic.Ransom.GarrantDecrypt.B.*, Gen:Variant.Ulise.32528
ALYac -> Trojan.Ransom.GarrantyDecrypt
Malwarebytes -> Ransom.XARCryptor

© Генеалогия: Rapid? >> GarrantyDecrypt > OutsiderBigBossHorseHorsedeal и другие

Изображение — логотип статьи


К зашифрованным файлам добавляется расширение: .garrantydecrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. В некоторых случаях есть отдельная статья.

Более того, некоторые варианты по ряду признаков я выделил в отдельную статью Outsider (GarrantyDecrypt-Outsider). Но все они теперь идентифицируются в IDR под GarrantyDecrypt. Сначала было две идентификации: GarrantyDecrypt и Outsider, а потом они были объединены. Но всё-таки там есть различия, потому мы будем придерживаться двух статей.

Активность этого крипто-вымогателя пришлась на начало октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: #RECOVERY_FILES#.txt


Содержание записки о выкупе:
All your files have been ENCRYPTED
Do you really want to restore your files?
Write to our email - garrantydecrypt@airmail.cc
and tell us your unique ID
1e4vDCmU44pC5lkk4DcnhJsEEhg+Djipct***

Перевод записки на русский язык:
Все ваши файлы были ЗАШИФРОВАНЫ
Вы действительно хотите восстановить свои файлы?
Напишите на наш email - garrantydecrypt@airmail.cc
и сообщите нам свой уникальный ID



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Не должен шифровать ПК пользователей из следующих стран: Россия, Казахстан, Беларусь, Украина. Но накладки при шифровании возможны. 

➤ UAC не обходит, требуется разрешение на запуск. 

➤ Завершает работу следующих процессов:
sqlwriter.exe, sqlbrowser.exe, sqlservr.exe, TNSLSNR.EXE, mysqld.exe, MsDtsSrvr.exe, sqlceip.exe, msmdsrv.exe, mpdwsvc.exe, fdlauncher.exe, Launchpad.exe, chrome.exe, oracle.exe, devenv.exe, PerfWatson2.exe, ServiceHub.Host, Node x86.exe, Node.exe, Microsoft VisualStudio, Web Host.exe, Lightshot.exe, netbeans64.exe, spnsrvnt.exe, sntlsrtsrvr.exe, w3wp.exe, TeamViewer_Service.exe, TeamViewer.exe, SecomSDK.exe, schedul2.exe, schedhlp.exe, adm_tray.exe, EXCEL.EXE, MSACCESS.EXE, OUTLOOK.EXE, POWERPNT.EXE, AnyDesk.exe, MicrosoftSqlServer, IntegrationServices, MasterServiceHost.exe, MicrosoftSqlServer, IntegrationServices, WorkerAgentServiceHost.exe


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, отключает файервол командами:
delete shadows /all /quiet
bcdedit /set {current} bootstatuspolicy ignoreallfailures
bcdedit /set {current} recoveryenabled no
netsh advfirewall set allprofiles state off

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#RECOVERY_FILES#.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: garrantydecrypt@airmail.cc
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 28-30 ноября 2018:
Пост в Твиттере >>
Пост в Твитере >>
Расширение: .decryptgarranty
Записка: #RECOVERY_FILES#.txt
Email: decryptgaranty@airmail.cc
Результаты анализов: VT 



Вариант от 25 ноября 2018: 
Расширение: .protected
Записка: RESTORE_FILES.txt
Email: secureserver@memeware.net
BTC: 1CfMU2eKnajfpnYvLbWR3m7jZRXujtx8Cm
Результаты анализов: VT + VMR + IA
См. отдельное описание в статье Outsider Ransomware >>

Обновление от 7 декабря 2018:
Расширение: .protected
Записка: HOW_TO_RESTORE_FILES.txt
Email: secureserver@memeware.net
BTC: 1CfMU2eKnajfpnYvLbWR3m7jZRXujtx8Cm
См. отдельное описание в статье Outsider Ransomware >>

Обновление от 15 декабря 2018:
Пост в Твиттере >>



Обновление от 28 декабря 2018:
Пост на форуме >>
Расширение: .NOSTRO

=== 2019 ===

Обновление от 9 января 2019:
Пост в Твиттере >>
Расширение: .odin
Email: odin19@protonmail.com
Записка: #RECOVERY_FILES#.txt
Результаты анализов: VT
Штамп времени: 14 декабря 2018. 


➤ Содержание записки: 
All personal files on your computer are encrypted.
We STRONGLY RECOMMEND you NOT to use any decryption tools.
These tools can damage your data, making recover IMPOSSIBLE.
If you really want to restore your files?
Write to our email - odin19@protonmail.com
And tell us your unique ID
TZ2DTOwVsj2Yyu45hUZeR1i***lj5LSI=

Обновление от 30 января 2019:
Пост в Твиттере >>
Расширение: .cosanostra
Записка: #RECOVERY_FILES#.txt


Результаты анализов: VT + VMRay

Обновление от 16 февраля 2019:
Пост в Твиттере >>
Расширение: .cammora
Email: cammora19@protonmail.com
Записка: #RECOVERY_FILES#.txt
➤ Содержание записки: 
All your files have been encrypted!
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address
cammora19@protonmail.com
And tell us your unique ID
[redacted 0x200 bytes in base64]


Обновление от 19 февраля 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .protected
Мьютекс: 666_nop_nop_nop_nop
Email: нет, т.к. в запсике, кроме кода base64 ничего нет. 
Записка: HOW_TO_RESTORE_YOUR_FILES.txt
В текстовом файле записки нет требований выкупа, email, BTC и прочих сведений. 
Подтверждение: см. на выделенный на скриншоте стринг "EMPTY".


➤ Содержание записки: 

EMPTY <base64>
Результаты анализов: VT + HA + IA + AR + VMR

Обновление от 20 марта 2019:
Пост в Твиттере >>
Расширение: .metan
Email: metan19@mail2tor.com
Записка: #HOW TO DECRYPT FILES#.txt
➤ Содержание записки: 
!!! ATTENTION, YOUR FILES WERE ENCRYPTED !!!
Please follow few steps below:
1.Send us your ID.
2.Then you'll get payment instruction and after payment you will get your decryption tool!
Only we can decrypt all your data!
Contact us us:
metan19@mail2tor.com
And tell us your unique ID
*** [redacted 0x200 bytes in base64]

Обновление от 9 апреля 2019:
Пост в Твиттере >>
Расширение: .spyhunter
Email: spyhunter5s@aol.com
Записка: $HOWDWCRYPT$.txt


Результаты анализов: VT

В зашифрованных файлах зашифрован только заголовок. Можно успешно использовать программу для восстановления. 

Обновление от 15 апреля 2019 (возможно и раньше):
Топик на форуме >>
Распространение в Китае. 
Расширение: .tater
Записка: #HOW TO DECRYPT#.txt
Email: tater@mail2tor.com


➤ Содержание записки: 

!!!!!!!Your files are encrypted!!!!!!!
Do not try to recover your files on your own or with someone else,because after the intervention you can remain without your data forever.
You have 48 hours to contact us,otherwise you will be left without access to the files forever.
Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service
Only we can decrypt all your data! 
Contact us us:
tater@mail2tor.com
And tell us your unique ID
**********

Обновление от 13 мая 2019:
Пост в Твиттере >>
Расширение: .spyhunter
Записка: $HOWDECRYPT$.txt
Email: spyhunter5s@aol.com
Результаты анализов: VT + VMR


Обновление от 12 августа 2019 (или раньше):
Пост в Твиттере >>
Распространение в Китае. 
Расширение: .zorin
Записка: $READ_ME$.txt
Email: zorin@rape.lol



Обновление от 28 ноября 2019: 
Отдельная статья Horsedeal (BigBossHorse) Ransomware >>
Топик на форуме >>
Расширение: .bigbosshorse
Записка: #Decryption#.txt
Email: bigbosshorse@ctemplar.com
Jabber: bigbosshorse@xmpp.jp

Обновление от 10 декабря 2019:
Отдельная статья Horsedeal (BigBossHorse) Ransomware >>
Топик на форуме >>
Расширение: .heronpiston
Записка: #Decryption#.txt
Email: heronpiston@ctemplar.com
Jabber: heronpiston@xmpp.jp

Обновление от 14 января 2020:
Отдельная статья Horsedeal (BigBossHorse) Ransomware >>
Расширение: .horsedeal
Записка: #Decryption#.txt
ICQ: https://icq.im/bigbosshorse 
Jabber: bigbosshorse@xmpp.jp




Обновление от 21 апреля 2020: 
Пост в Твиттере >>
Расширение: .azor
Записка: !read_me!.txt
Email: azor2020@protonmail.ch
ICQ: @azor2020 
Jabber: azor2020@jxmpp.jp 
Результаты анализов: VT + TG



Обновление от 11 февраля 2020:
Расширение: .razor
Записка: #RECOVERY#.txt
Email: razor2020@protonmail.ch
ICQ: @razor2020
Jabber: razor2020@jxmpp.jp
Результаты анализов: VT + AR + IA






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as GarrantyDecrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 3 октября 2018 г.

HacknutCrypt

HacknutCrypt Ransomware 

Qweuirtksd Ransomware 

(шифровальщик-вымогатель с хакерским проникновением)

Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью AES-128 (режим CBC), а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название неизвестно. Для того, чтобы запустить шифрование на скомпрометированном ПК или сервере, сначала используется хакерское проникновение. Для частных пользователей вымогатели готовы сделать скидку. 

© Генеалогия: предыдущие однотипные вымогательства >> HacknutCrypt > Kupidon
Изображение только логотип статьи

К зашифрованным файлам добавляется расширение: .qweuirtksd


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!ReadMeToDecrypt.txt

Содержание записки о выкупе:
Attention, all your files are encrypted with the AES cbc-128 algorithm!
It's not a virus like WannaCry and others, I hacked your computer,
The encryption key and bitcoin wallet are unique to your computer,
so you are guaranteed to be able to return your files.
But before you pay, you can make sure that I can really decrypt any of your files.
To do this, send me several encrypted files to cyrill.fedor0v@yandex.com, a maximum of 5 megabytes each, I will decrypt them and I will send you back. No more than 5 files. Do not forget to send in the letter bitcoin address 1BhHZxek7iUTm1mdrgax6yVrPzViqLhr9u from this file.
After that, pay the decryption in the amount of 500$ to the bitcoin address: 1BhHZxek7iUTm1mdrgax6yVrPzViqLhr9u
After payment, send me a letter to cyrill.fedor0v@yandex.com with payment notification.
Once payment is confirmed, I will send you a decryption program.
You can pay bitcoins online in many ways:
https://buy.blockexplorer.com/ - payment by bank card
https://www.buybitcoinworldwide.com/
https://localbitcoins.net
About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
If you have any questions, write to me at cyrill.fedor0v@yandex.com
As a bonus, I will tell you how hacked your computer is and how to protect it in the future.

Перевод записки на русский язык:
Внимание, все ваши файлы зашифрованы с алгоритмом AES cbc-128!
Это не вирус, как WannaCry и другие, я взломал ваш компьютер,
Ключ шифрования и биткоин-кошелек уникальны для вашего компьютера,
поэтому вы сможете вернуть свои файлы.
Но до оплаты вы можете убедиться, что я реально могу расшифровать любые ваши файлы.
Для этого отправьте мне несколько зашифрованных файлов на cyrill.fedor0v@yandex.com, максимум 5 мегабайт каждый, я их расшифрую и я пошлю вам обратно. Не более 5 файлов. Не забудьте отправить биткоин-адрес 1BhHZxek7iUTm1mdrgax6yVrPzViqLhr9u из этого файла.
После этого заплатите за дешифрование 500$ на биткоина-адрес: 1BhHZxek7iUTm1mdrgax6yVrPzViqLhr9u
После оплаты отправьте мне письмо на cyrill.fedor0v@yandex.com с уведомлением о платеже.
Как только платеж будет подтвержден, я пришлю вам программу дешифрования.
Вы можете оплачивать биткоины онлайн разными способами:
https://buy.blockexplorer.com/ - оплата банковской картой
https://www.buybitcoinworldwide.com/
https://localbitcoins.net
О Биткоинах:
https://en.wikipedia.org/wiki/Bitcoin
Если у вас есть какие-то вопросы, напишите мне на cyrill.fedor0v@yandex.com
В качестве бонуса я расскажу вам, как взломали ваш компьютер и как его защитить в будущем.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!ReadMeToDecrypt.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cyrill.fedor0v@yandex.com
BTC: 1BhHZxek7iUTm1mdrgax6yVrPzViqLhr9u
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 октября 2018:
Расширение: .qweuirtksd
Email:  kathi.bell.1997@outlook.com
BTC: 1Ne5yGtfycobLgXZn5WSN5jmGbVRyTUf48
Записка: !!!ReadMeToDecrypt.txt
➤ Содержание записки о выкупе: 
Attention, all your files are encrypted with the AES cbc-128 algorithm!
It's not a virus like WannaCry and others, I hacked your computer,
The encryption key and bitcoin wallet are unique to your computer,
so you are guaranteed to be able to return your files.
But before you pay, you can make sure that I can really decrypt any of your files.
To do this, send me several encrypted files to kathi.bell.1997@outlook.com, a maximum of 5 megabytes each, I will decrypt them
and I will send you back. No more than 5 files. Do not forget to send in the letter bitcoin address 1Ne5yGtfycobLgXZn5WSN5jmGbVRyTUf48 from this file.
After that, pay the decryption in the amount of 500$ to the bitcoin address: 1Ne5yGtfycobLgXZn5WSN5jmGbVRyTUf48
After payment, send me a letter to kathi.bell.1997@outlook.com with payment notification.
Once payment is confirmed, I will send you a decryption program.
You can pay bitcoins online in many ways:
https://buy.blockexplorer.com/ - payment by bank card
https://www.buybitcoinworldwide.com/
https://localbitcoins.net
About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
If you have any questions, write to me at kathi.bell.1997@outlook.com
As a bonus, I will tell you how hacked your computer is and how to protect it in the future.

Обновление от 9 октября 2018:
Расширение: .qweuirtksd
Email: ann4.orlova.89@yandex.com, antony.hops.4ever@outlook.com, artur_ivanov_19991103@mail.ru
BTC: 17extZWTopkmpkhAv1bhbmFxgGFcvbient
Записка: !!!ReadMeToDecrypt.txt
➤ Содержание записки о выкупе:
Attention, all your files are encrypted with the AES cbc-128 algorithm!
It's not a virus like WannaCry and others, I hacked your computer,
The encryption key and bitcoin wallet are unique to your computer,
so you are guaranteed to be able to return your files.
But before you pay, you can make sure that I can really decrypt any of your files.
To do this, send me several encrypted files to ann4.orlova.89@yandex.com , antony.hops.4ever@outlook.com
artur_ivanov_19991103@mail.ru, a maximum of 5 megabytes each, I will decrypt them
and I will send you back. No more than 5 files. Do not forget to send in the letter bitcoin address 
17extZWTopkmpkhAv1bhbmFxgGFcvbient from this file.
Do not complain about these email addresses, because other people will not be able to decrypt their files!
After that, pay the decryption in the amount of 500$ to the bitcoin address: 17extZWTopkmpkhAv1bhbmFxgGFcvbient
After payment, send me a letter to ann4.orlova.89@yandex.com , antony.hops.4ever@outlook.com
artur_ivanov_19991103@mail.ru with payment notification.
Once payment is confirmed, I will send you a decryption program.
You can pay bitcoins online in many ways:
https://buy.blockexplorer.com/ - payment by bank card
https://www.buybitcoinworldwide.com/
https://localbitcoins.net
About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
If you have any questions, write to me at ann4.orlova.89@yandex.com , antony.hops.4ever@outlook.com
artur_ivanov_19991103@mail.ru
As a bonus, I will tell you how hacked your computer is and how to protect it in the future.

Обновление от 20 декабря 2018:

Расширение: .qweuirtksd
Email: ann4.orlova.89@yandex.com, diana.portnova.01.11.1987@mail.ru
BTC: 1Mi3owh4XVonyKahJBitJHCEtPSBk3o94w
Записка: !!!ReadMeToDecrypt.txt
➤ Содержание записки о выкупе:
Attention, all your files are encrypted with the AES cbc-128 algorithm!
It's not a virus like WannaCry and others, I hacked your computer,
The encryption key and bitcoin wallet are unique to your computer,
so you are guaranteed to be able to return your files.
But before you pay, you can make sure that I can really decrypt any of your files.
To do this, send me several encrypted files to ann4.orlova.89@yandex.com , diana.portnova.01.11.1987@mail.ru, a maximum of 5 megabytes each, I will decrypt them
and I will send you back. No more than 5 files. Do not forget to send in the letter bitcoin address 1Mi3owh4XVonyKahJBitJHCEtPSBk3o94w from this file.
Do not complain about these email addresses, because other people will not be able to decrypt their files!
After that, pay the decryption in the amount of 500$ to the bitcoin address: 1Mi3owh4XVonyKahJBitJHCEtPSBk3o94w
After payment, send me a letter to ann4.orlova.89@yandex.com , diana.portnova.01.11.1987@mail.ru with payment notification.
Once payment is confirmed, I will send you a decryption program.
You can pay bitcoins online in many ways:
https://buy.blockexplorer.com/ - payment by bank card
https://www.buybitcoinworldwide.com/
https://localbitcoins.net 
About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
If you have any questions, write to me at ann4.orlova.89@yandex.com , diana.portnova.01.11.1987@mail.ru
As a bonus, I will tell you how hacked your computer is and how to protect it in the future.





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Qweuirtksd)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov
 (victims in the topics of support)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *