Если вы не видите здесь изображений, то используйте VPN.

среда, 21 ноября 2018 г.

IEncrypt

IEncrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные компаний с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: IEncrypt. На файле написано: IEncrypt и IEncrypt.dll (отсюда его название). Фальш-копирайт: Microgaming, Free Audio Converter и прочее. Написан на AutoIt v3. 

Обнаружения: 
DrWeb -> Trojan.Encoder.26780
BitDefender -> Trojan.GenericKD.31364016
ALYac -> Trojan.Ransom.BitPaymer
Malwarebytes -> Ransom.FileLocker
Kaspersky -> Trojan-Banker.Win32.Emotet.brcl

© Генеалогия: Bitpaymer > Streamer ? > IEncrypt
Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение по шаблону: .<PCname_of_company>

Иногда буквы меняются на похожие цифры и символы: 
"o" на 0
"i" на 1
"e" на 3

Примеры таких замен:
company - c0mpany
next - n3xt

В представленном примере была атакована компания KRAUSS-MAFFEI (Германия) и использовано имя ПК. Таким образом расширение на файлах было дано
 по имени ПК: .kraussmfz

В другой компании и на других ПК используются другие расширения. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на первую половину ноября, новый экземпляр попался во второй половине ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа создается на каждый зашифрованный файл, использует название зашифрованного ПК компании и оригинальное название файла, прибавляя к нему .kraussmfz_readme.txt

Шаблон записки: original_filename.PCname_readme.txt

Пример записок для зашифрованных файлов: 
MyDocument.doc.kraussmfz_readme.txt
Penguins.jpg.kraussmfz_readme.txt

Содержание записки о выкупе:
Hello KRAUSS-MAFFEI,
Your network was hacked and encrypted.
No free decryption software is available on the web.
Email us at SARAH.BARRICK@PROTONMAIL.COM (or) LINDA.HARTLEY@TUTANOTA.COM to get the ransom amount.
Please, use your company name as the email subject.
TAiL:72nJfoO=
KEY:AQlAABBmAAAApAAAbcvdhz***

Перевод записки на русский язык:
Привет KRAUSS-MAFFEI,
Ваша сеть была взломана и зашифрована.
В Интернете нет бесплатной программы для дешифрования.
Email нам на SARAH.BARRICK@PROTONMAIL.COM (or) LINDA.HARTLEY@TUTANOTA.COM чтобы получить сумму выкупа.
Используйте название своей компании в качестве темы email.
TAiL:72nJfoO=
KEY:AQlAABBmAAAApAAAbcvdhz***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Base64 в записке представляет собой BLOB-объект (CryptoAPI) с AES-256 ключом, зашифрованным RSA-512.


➤ Удаляет теневые копии файлов.
Пытается получить доступ к сетевым ресурсам. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
IEncrypt.dll
_ReadMe_.txt.kraussmfz_readme
ARP.EXE
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sarah.barrick@protonmail.com, linda.hartley@tutanota.com
Отправка запросов:
1.56.168.192.in-addr.arpa
10.56.168.192.in-addr.arpa
22.0.0.224.in-addr.arpa
252.0.0.224.in-addr.arpa
255.56.168.192.in-addr.arpa
8.8.8.8.in-addr.arpa
igmp.mcast.net 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
ᕒ  ANY.RUN анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Bitpaymer Ransomware - июль 2017 - январь 2019
Bitpaymer NextGen - июнь-июль 2018
Streamer Ransomware - октябрь 2018
IEncrypt Ransomware - ноябрь 2018 - сентябрь 2019
DoppelPaymer Ransomware - июль 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Предыстория. Ранний образец от 12 ноября 2018:
Пост в Твиттере >>
Страна пострадавшей компании: США
Email: mary.weston@protonmail.com, beryl.mclennan@tutanota.de
➤ Содержание ранней записки:
Hello [redacted],
Your network was hacked and encrypted.
No free decryption software is available on the web.
Email us at mary.weston@protonmail.com (or) beryl.mclennan@tutanota.de to get the ransom amount.
Please, use your company name as the email subject.
TAIL:[redacted 12 alphanum]
KEY:[redacted 0x20C bytes (BLOB)]
➤ Шаблон расширения и записки такой же, как я описал выше.
Название компании упоминается в записке. Данный случай связан с компанией из США. 

Обновление от 26 ноября 2018:
Пост в Твиттере >>
Email: Shirley.Rourke@protonmail.com, Imran.Adil@tutanota.com

Обновление от 27 ноября 2018:
Пост в Твиттере >>
Страна пострадавшей компании: Канада
Email: MARY.SWANN@PROTONMAIL.COM, HENRY.PROWSE@TUTANOTA.COM

Обновление от 30 ноября 2018:
Пост в Твиттере >>
Email: florri.nord@protonmail.ch, jakie.nunes@tutanota.com



Обновление от 14 декабря 2018:
Пост в Твиттере >>
Расширение: .cmsnwned
Объект атаки: CMS Nextech
Записка о выкупе: original_filename.cmsnwned_readme
Email: mary.weston@protonmail.com, beryl.mclennan@tutanota.de
Результаты анализов: VT + AR + HA
➤ Содержание записки:
Hello CMS Nextech,
Your network was hacked and encrypted.
No free decryption software is available on the web.
Email us at mary.weston@protonmail.com (or) beryl.mclennan@tutanota.de to get the ransom amount.
Please, use your company name as the email subject.
TAIL:O7Js9a/WpwY=
KEY:AQIAABBmAAAApAAA***KFDWrlTs=

Обновление от 16 мая 2019:
Пост в Твиттере >>
Расширение: .ge0l0gic
Записка: original_filename.ge0l0gic_readme
Email: ELISABETH.TYLER@PROTONMAIL.COM, REGINA.SHELTON@TUTANOTA.COM
Результаты анализов: VT + HA + IA + AR

Обновление от 10-11 сентября 2019:
Пост в Твиттере >>
Расширение: .n3xtpharma
Записка: original_filename.n3xtpharma_readme
Пример такого файла: autoexec.bat.n3xtpharma_readme
Email: KAY.ROBERTSON@TUTANOTA.COM, HEATHER.JOSEPH@PROTONMAIL.COM
➤ Содержание записки: 
Hello ***Pharma.
Your network was hacked and encrypted.
No free decryption software is available on the web.
Email us at KAY.ROBERTSON@TUTANOTA.COM (or) HEATHER.JOSEPH@PROTONMAIL.COM to get the ransom amount.
Keep our contacts safe. Disclosure can lead to impossibility of decryption.
Please, use your company name as the email subject.
TAIL:ejdl3Aw*****
KEY:AQIAABBmAAAApAAA***
---
Файл EXE: Locator.exe
Результаты анализов: VT + HA + IA + AR + JSB
 Обнаружения:
DrWeb -> Trojan.Encoder.28586
BitDefender -> Trojan.GenericKD.32408984
ALYac -> Trojan.Ransom.BitPaymer
Malwarebytes -> Ransom.Bitpaymer
Kaspersky -> Trojan.Win32.DelShad.ara



Обновление от 2-6 ноября 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .3v3r1s
Записка: original_filename.3v3r1s_readme.txt
Email: SYDNEY.WILEY@PROTONMAIL.COM, EVANGELINA.MATHEW@TUTANOTA.COM


Обновление от 7 ноября 2019:
Расширение: .0riz0n
Записка: original_filename.0riz0n_readme.txt
Email: BRYNN.WERNER@PROTONMAIL.COM, GRACIE.REED@TUTANOTA.COM
Результаты анализов: VTIA + VMR


Обновление от 16 ноября 2019:
Расширение: .grupothermot3k
Записка: original_filename.grupothermot3k_readme
Email: COLBY.WEST@PROTONMAIL.COM, HILARY.BUSH@TUTANOTA.COM
Результаты анализов: VT + IA + VMR


Обновление от 21 декабря 2019:
Расширение: .parad1gm
Записка: original_filename.parad1gm_readme
Email: JEREMIAH.MAHONEY@PROTONMAIL.COM, ALISSA.CARNEY@TUTANOTA.COM
Результаты анализов: VT + IA + HA



Обновление от 20 января 2020:
Пост в Твиттере >>
Расширение: .al1b1nal1
Записка: original_filename.al1b1nal1_readme
Результаты анализов: VT + HA + VMR


Обновление от 28 января 2020:
Пост в Твиттере >>
Расширение: .un1que
Записка: original_filename.un1que_readme.txt
Email: WHITNEY.MCDOWELL@PROTONMAIL.COM, KOREY.COBB@TUTANOTA.COM 
Результаты анализов: VT + HAVMR
---



Обновление от 10 февраля 2020:
Пост в Твиттере >>
Расширение: .midwestsurinc
Записка: original_filename.midwestsurinc_readme
Email: LANA.OBRIEN@PROTONMAIL.COM, KERRI.DOUGHERTY@TUTANOTA.COM
Результаты анализов: VT + AR + VMR + IA
➤ Содержание записки: 
Hello Midwest Surveys Inc.
Your network was hacked and encrypted.
No free decryption software is available on the web.
Email us at LANA.OBRIEN@PROTONMAIL.COM (or) KERRI.DOUGHERTY@TUTANOTA.COM to get the ransom amount.
Keep our contacts safe. Disclosure can lead to impossibility of decryption.
Please, use your company name as the email subject.
TAIL:AnSgVgKw9t0=
KEY:AQIAABBmAAAApAAAtnsuv5DO9xTiMfQOSybbAVSFA63MAOlCxztC*** [всего 700 знаков]





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as IEncrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie, Vitali Kremez
 Andrew Ivanov (author) 
 Emmanuel_ADC-Soft
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 17 ноября 2018 г.

Vapor

Vapor Ransomware

(шифровальщик-вымогатель, деструктор)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email, чтобы узнать, как вернуть файлы. Оригинальное название. На файле написано: Vapor Ransomwarev1 и Vapor Ransomwarev1.exe. Разработчик: Ghosty/DeaDHackS

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .Vapor


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:
Vapor Ransomware шифровальщик-вымогатель
Vapor Ransomware note

Содержание текста о выкупе:
Vapor Ransomware
You Have Been Caught.
---
What Happened To Me?
All your private data, files, cookies, application and much more as been encrypted into a strong encryption!
The only way to get it back is by sending a support email at this email:
deadhacksteam@gmail.com
Please make sure your Client ID is included so we can recognise you and send back the key.
When its done, enter the key into the key box and enjoy your day / night.
You have 48 hours to send the email, if the timer runs out your files will be deleted.
If you restart the PC or kill the program, you will never be able to get your files back since they will be re-encrypted if you re-launch the program.
Basically closing the program in anyway will result in loosing the key.
- Good Luck, Good Time.
- DeaDHackS Team!

Перевод текста на русский язык:
Vapor Ransomware
Вы были пойманы.
---
Что со мной случилось?
Все ваши личные данные, файлы, файлы cookie, приложение и многое другое зашифрованы в надежное шифрование!
Единственный способ вернуть его - отправить email на этот адрес:
deadhacksteam@gmail.com
Пожалуйста, проверьте, что ваш Client ID включен, чтобы мы могли узнать вас и прислать ключ.
Когда все будет сделано, введите ключ в бокс и наслаждайтесь днем и ночью.
У вас есть 48 часов для отправки email, если таймер обнулится, ваши файлы будут удалены.
Если вы перезагрузите ПК или отключите программу, вы никогда не сможете вернуть свои файлы, т.к. они будут повторно зашифрованы, если вы перезапустите программу.
В принципе, закрытие программы в любом случае приведет к потере ключа.
- Удачи, хорошего времени.
- Команда DeaDHackS!

Когда таймер обнулится, зашифрованные файлы будут удалены. 
Затем перед пользователем выводится сообщение:
Timer ran out! Your files are being deleted! Bye-Bye!

Перевод на русский язык:
Таймер закончил счет! Ваши файлы удаляются! Бай-бай!

Если нажать на кнопку "I GIVE UP", обведенную красным цветом, то зашифрованные файлы будут немедленно удалены, без вопросов. 

Сообщение после удаления зашифрованных файлов:
Your Files Are Now Deleted! Good job!

Другие тексты вымогателей:
Dear DeaDHackS Member
if you received this email it means you did another victim!
---
Dear DeaDHackS Member
if you received this email it means we are sending the newest logged infos!

После шифрования файлов отправляется email на адрес вымогателей.

После успешного ввода ключа также отправляется email, не дождавшись окончания дешифрования. 
Затем перед пользователем выводится сообщение:
Your Files Were Successfully Decrypted With Key: *****
Good Luck and Good Night!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Vapor Ransomwarev1.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
deadhacksteam@gmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Vapor v1)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

GhostHammer

Ghost Ransomware

GhostHammer Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в 0.08116 BTC, чтобы вернуть файлы. Оригинальное название: Ghost. На файле написано: Ghost.exe.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .Ghost


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
All your files have been encrypted
All your files have been encrypted, but don't worry. I have not deleted them yet.
To desencrypt them, you have to pay 0.08116 bitcoin to following address:
https://blockchain.info/payment_request?
address=1N7AmqH12EN3yAkVMPB5rZoVX758jgLbzj&amount_local=500&currency=USD&nosavecurrency=true&message=Pay%20me!
Them, send a mail to paymemen@gmail.com with your CODE ID.
I'm sorry for the inconvenience caused.

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Все ваши файлы зашифрованы, но не волнуйтесь. Я еще не удалил их.
Чтобы дешифровать их, вы должны заплатить 0.08116 биткоин на следующий адрес:
https://blockchain.info/payment_request?
address=1N7AmqH12EN3yAkVMPB5rZoVX758jgLbzj&amount_local=500&currency=USD&nosa
vecurrency=true&message=Pay%20me!
Отправьте письмо на адрес paymemen@gmail.com с CODE ID.
Прошу прощения за причиненные неудобства.

Как оказалось, за прошедшее с 17 по 20 ноября время сумма в BTC немного возросла.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Одна dll используется для сбора файлов, другая для шифрования. 
GhostHammer.dll послужил названием для идентификации в сервисе ID Ransomware.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ghost.exe
GhostService.exe
GhostService.exe.config
GhostService.pdb
GhostService.vshost.exe
GhostHammer.dll
Ghost.bat
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: www.12312312eewfef231.com
Email: paymemen@gmail.com
BTC: 1N7AmqH12EN3yAkVMPB5rZoVX758jgLbzj
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 6 февраля 2019:
Название проекта: GhostForm
Расширение: .Ghost
Файлы EXE: GhostForm.exe, GR.zip.exe
Email: paymemen@gmail.com
BTC: 1N7AmqH12EN3yAkVMPB5rZoVX758jgLbzj
Сумма выкупа: 0.138 BTC
Результаты анализов: HA  + VT + HA + VT
➤ Содержание файла записки:
All your files have been encrypted, but don't worry, I have not deleted them yet.
To desencrypt them, you have to pay 0.08116 bitcoin to following address:
https://blockchain.info/payment_request?address=1N7AmqH12EN3yAkVMPB5rZoVX758jgLbzj&amount_local=500&currency=USD&nosavecurrency=true&message=Pay%20me!
Them, send a mail to paymemen@gmail.com with your CODE ID.

I'm sorry for the inconvenience caused.





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as GhostHammer)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *