Jemd

Jemd Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: jemd. На файле написано: Project2.exe

Обнаружения:
DrWeb -> Trojan.Encoder.26910, Trojan.Encoder.30213
BitDefender -> Trojan.Generic.23263784, Generic.Ransom.Jemd.2445D06F
Microsoft -> Ransom:Win32/Jemd!MSR

© Генеалогия: InducVirus > Delphimorix > Jemd

К зашифрованным файлам добавляется расширение: .<RANDOM>


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Recovery.txt

Содержание записки о выкупе:
<><><><><><>jemd<><><><><><>
All your files were encrypted by jemd.
Used a AES encryption.
AES a best algorytm. If you - gruja, decryption inpossible
Contact us: rezko@prottykon.mit.edu
\\Recovery.TXT

Перевод записки на русский язык:
<><><><><><>jemd<><><><><><>
Все ваши файлы были зашифрованы jemd.
Использовано шифрование AES.
AES лучший алгоритм. Если вы - gruja, расшифровка невозможна
Контакт: rezko@prottykon.mit.edu
\\Recovery.TXT

Технические детали

Распространяется на форумах кибер-андеграунда. Может начать ьраспространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Recovery.TXT или Recovery.txt
Project2.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rezko@prottykon.mit.edu 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Другой образец, найденный 27 ноября 2019:
Вероятно, что это просто другой образец из 2018 года. 
Пост в Твиттере >>
Расширение: .QUOHD или .<RANDOM{5}>
Пример зашифрованного файла:  6368726F6D655F73687574646F776E5F6D732E747874.QUOHD
Записка: Recovery.TXT
Emal: rezko@prottykon.mit.edu
Файл: Project2.exe
Результаты анализов: HA + VT + IA + AR

➤ Содержание записки: 
<><><><><><>jemd<><><><><><>
All your files were encrypted by jemd.
Used a AES encryption.
AES a best algorytm. If you - gruja, decryption inpossible
Contact us: rezko@prottykon.mit.edu
<><><><><><>jemd<><><><><><>
Personal id:61646D696E007C51554F4844754D46534B4F6774624C7C51554F4844

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Jemd)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Black Worm

Black Worm Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Black Worm RansomWare. На файле написано: Black Worm RansomWare.

© Генеалогия: HiddenTear >> Black Worm

К зашифрованным файлам добавляется расширение: .bworm


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
\Desktop\READ_IT.txt
[ Warning ]
Your Files has been encrypted with Black Worm RansomWare
Send 200$ of bitcoins to my Bitcoin Address
Bicoint Address : 

Перевод записки на русский язык:
\Desktop\READ_IT.txt
[Предупреждение]
Ваши файлы были зашифрованы с помощью Black Worm RansomWare
Пришлите 200$ в биткоинах на мой Bitcoin-адрес
Bicoint-адрес: 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
BlackData.dat
ROBLOXHACK.bat
cagohack.exe
svchost.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\Microsoft\svchost.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie, CyberSecurity GrujaRS
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Evolution

Evolution Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в несколько BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: нет данных.

© Генеалогия: Rapid?  Everbe? > Evolution

К зашифрованным файлам добавляется расширение: .evolution


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !#_Read_me_for_revocery_#!.txt

Содержание записки о выкупе:
Hello ! All your data have been encrypted !
Don't worry , we can help you to return all your data.
Write to our email - evolution@rape.lol
In the subject write - id-s10b60c8 .
If within 24 hours we didn't answer you , write to our backup email - backupevolution@tuta.io .

Перевод записки на русский язык:
Привет ! Все ваши данные зашифрованы!
Не волнуйтесь, мы можем помочь вам вернуть все ваши данные.
Пишите на наш email - evolution@rape.lol
Тему напишите - id-s10b60c8.
Если в течение 24 часов мы не ответили вам, напишите на наш резервный email - backupevolution@tuta.io.



Один из пострадавших написал вымогателям и получил следующий ответ:
Hello !
Full decrypt  cost 2 BTC .
As a proof we can decrypt 1 file , file must be with out any valuable 
information and less 1mb . Send it in attach or upload anywhere .
After test decrypt we send wallet for payment .

Перевод на русский язык:
Полная расшифровка стоит 2 BTC.
Для доказательства мы можем расшифровать 1 файл, файл должен быть без любой ценной информации и менее 1 МБ. Отправьте его как вложение или загрузите куда-либо.
После тест-дешифровки мы отправим кошелек для оплаты.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.day, .doc, .docx, .jpg, .pgf, .png, .xls, .xlsx
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!#_Read_me_for_revocery_#!.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: evolution@rape.lol
Email-2: backupevolution@tuta.io
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 (victims in the topics of support)
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cryptre

Cryptre Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: Cryptre. На файле написано: нет данных.

© Генеалогия: CryptoWire >> Cryptre

К зашифрованным файлам добавляется расширение .encrypted, но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.encrypted.original_file_extension. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Your files has been safely encrypted
[Buy Bitcoins] [Decrypt Files]
[Decryptionkey]
The only way you can recover your files is to buy a decryption key
The payment method is: Bitcoins. The price is: $200 = 0.05718488 Bitcoins
Click on the 'Buy decryption key' button.

Перевод текста на русский язык:
Ваши файлы надежно зашифрованы
[Купить биткоины] [Расшифровать файлы]
[Ключ дешифрования]
Единственный способ восстановить ваши файлы - это купить ключ расшифровки
Способ оплаты: Биткоины. Цена: $200 = 0.05718488 Биткоин.
Нажмите на кнопку 'Купить ключ дешифрования'.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
CmdLine >>
vssadmin.exe Delete Shadows /All /Quiet
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreal

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Windows Update.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as CryptoWire)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jack, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FORMA

FORMA Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: forma.exe или что-то иное. 

© Генеалогия: HiddenTear >> FORMA

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину декабря 2018 г. Ориентирован на польскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ODSZYFRFUJ_PLIKI_TERAZ.txt

На русский название переводится как Расшифруйте файлы сейчас. Одна буква "F" лишняя. 

Содержание записки о выкупе:

UWAGA !!! WSZYSTKIE TWOJE PLIKI ZOSTAŁY ZAKODOWANE KLUCZEM SZYFRUJĄCYM! ODZYSKANIE PLIKÓW JEST MOŻLIWE TYLKO ZA POMOCĄ KLUCZA DESZYFRUJĄCEGO.

NIC STRACONEGO, PRZEZ NASTĘPNE 48H POSIADAMY TWÓJ KLUCZ DESZYFRUJĄCY NA NASZYM SERWERZE!

SKONTAKTUJ SIE POD ADRES

EMAIL : deszyfrujacy@yandex.com ABY ODZYSKAĆ DOSTĘP DO PLIKÓW - UWAGA!

PO 48H OD ZASZYFROWANIA PLIKÓW TWÓJ KLUCZ DESZYFRUJĄCY ZOSTAJE AUTOMATYCZNIE USUNIĘTY Z NASZEGO SERWERA A ODZYSKANIE PLIKÓW STANIE SIĘ NIE MOŻLIWE.

W ŻADNYM WYPADKU NIE ZAMYKAJ KOMPUTERA ANI PROGRAMU DESZYFRUJĄCEGO - MOŻE TO SPOWODOWAĆ UTRUDNIENIE W PRZYWRÓCENIU PLIKÓW.

GWARANTUJEMY ODZYSKANIE WSZYSTKICH PLIKÓW!

Перевод записки на русский язык:

ВНИМАНИЕ !!! ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ КЛЮЧОМ ШИФРОВАНИЯ! ВОССТАНОВЛЕНИЕ ФАЙЛОВ ВОЗМОЖНО ТОЛЬКО С ПОМОЩЬЮ КЛЮЧА ДЕШИФРОВАНИЯ.

НИЧЕГО НЕ ПОТЕРЯНО, В ТЕЧЕНИЕ СЛЕДУЮЩИХ 48 ЧАСОВ У НАС ЕСТЬ ВАШ КЛЮЧ ДЕШИФРОВАНИЯ НА НАШЕМ СЕРВЕРЕ!

КОНТАКТНЫЙ АДРЕС

ЭЛЕКТРОННАЯ ПОЧТА: deszyfrujacy@yandex.com ДЛЯ ВОССТАНОВЛЕНИЯ ДОСТУПА К ФАЙЛАМ - ВНИМАНИЕ!

ПОСЛЕ 48 ЧАСОВ ШИФРОВАНИЯ ВАШИХ ФАЙЛОВ КЛЮЧ ДЕШИФРОВАНИЯ АВТОМАТИЧЕСКИ УДАЛИТСЯ С НАШЕГО СЕРВЕРА, И ВОССТАНОВЛЕНИЕ ФАЙЛОВ БУДЕТ НЕВОЗМОЖНО.

НЕ ВЫКЛЮЧАЙТЕ КОМПЬЮТЕР ИЛИ ПРОГРАММУ ДЕШИФРОВАНИЯ НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ - ЭТО МОЖЕТ ЗАТРУДНИТЬ ВОССТАНОВЛЕНИЕ ФАЙЛОВ.

МЫ ГАРАНТИРУЕМ ВОССТАНОВЛЕНИЕ ВСЕХ ФАЙЛОВ!

Другим информатором жертвы является экран блокировки.

Содержание текста:
аналогично тому, что есть в текстовом файле.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Создает и использует следующий файл дл автозапуска и распространения: 
%APPDATA%\Roaming\Microsoft\Windows\Start menu\Programs\Startup\syswin32.lnk

➤ Инжектирует код в процесс adobeacrobatreader.exe

Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .doc, .docx, .html, .jpeg 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ODSZYFRFUJ_PLIKI_TERAZ.txt
1.bat
2.bat
3.bat
4.bat
admin.exe
adobeacrobatreader.exe
forma.exe
invisible.vbs
ystemkey.txt
winsys.txt
winsys2.txt
winsys3.txt
table.exe
cabacca.tmp
taraccb.tmp
syswin32.lnk
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\1.bat
%TEMP%\2.bat
%TEMP%\3.bat
%TEMP%\4.bat
%TEMP%\admin.exe
%TEMP%\adobeacrobatreader.exe
%TEMP%\forma.exe
%TEMP%\invisible.vbs
%HOMEPATH%\systemkey.txt
%HOMEPATH%\winsys.txt
%HOMEPATH%\winsys2.txt
%HOMEPATH%\winsys3.txt
%HOMEPATH%\table.exe
%TEMP%\cabacca.tmp
%TEMP%\taraccb.tmp
%APPDATA%\Roaming\Microsoft\Windows\Start menu\Programs\Startup\syswin32.lnk

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://szybkiplik.pl
xxxx://repository.certum.pl
xxxx://subca.ocsp-certum.com
xxxx://h.ocsp-certum.com/***

Email: deszyfrujacy@yandex.com

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 🎥 Video review >>

 - Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kali

Kali Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .kali


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
ATTENTION ! ! !
The important files on your computer have been encrypted with military grade AES-256 bit encryption.
The only way to get access to your files - enter the decryption key.
We garantee that you can recover all your files safely and easily.
All you need to do is submit the payment and purchase the private key.
 1. Send $500 worth of Bitcoin to following adress:
3Ge8TedVhoYum3q1DAN42wVftkhH9MRVm2
If you don't know about Bitcoin you can buy it from here:
www.coinbase.com   or  www.localbitcoins.com  or try google.com
 2. After payment send your ID and contact email to:
pouranesd@cliptik.net
YOUR ID: JBIGF-DZWWJ-CZTFL
and we will send INSTRUCTIONS and KEY for recovery.
IMPORTANT: YOU HAVE ONLY 48 HOURS FOR PAYMENT
PLEASE DON'T EVEN TRY TO RECOVER FILES BY YOURSELF
IN CASE IF YOU WILL TRY TO DO SOMETHING WITHOUT KEY
ACCESS TO YOUR FILES WILL BE PERMANENTLY LOST!
DON'T EVEN TOUCH ANYTHING! OR
ACCESS TO YOUR FILES WILL BE PERMANENTLY LOST!

Перевод записки на русский язык:
ВНИМАНИЕ! ! !
Важные файлы на вашем компьютере зашифрованы военным классом AES-256 бит шифрованием.
Единственный способ получить доступ к вашим файлам - ввести ключ дешифрования.
Мы гарантируем, что вы можете безопасно и легко восстановить все ваши файлы.
Все, что вам нужно сделать, это заплатить и купить закрытый ключ.
  1. Отправьте биткоины на $500 на следующий адрес:
3Ge8TedVhoYum3q1DAN42wVftkhH9MRVm2
Если вы не знаете о Биткоине, вы можете купить его здесь:
www.coinbase.com или www.localbitcoins.com или попробуйте google.com
  2. После оплаты отправьте ваш ID и контакт на email:
pouranesd@cliptik.net
ВАШ ID: JBIGF-DZWWJ-CZTFL
и мы вышлем ИНСТРУКЦИИ и КЛЮЧ для восстановления.
ВАЖНО: У ВАС ЕСТЬ ТОЛЬКО 48 ЧАСОВ ДЛЯ ОПЛАТЫ
ДАЖЕ НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ ФАЙЛЫ
В СЛУЧАЕ, ЕСЛИ ВЫ ПОПРОБУЕТЕ СДЕЛАТЬ ЧТО-ТО БЕЗ КЛЮЧА
ДОСТУП К ВАШИМ ФАЙЛАМ БУДЕТ НАВСЕГДА ПОТЕРЯН!
НЕ ДОТРАГИВАЙСЯ НИ ДО ЧЕГО! ИЛИ ЖЕ
ДОСТУП К ВАШИМ ФАЙЛАМ БУДЕТ НАВСЕГДА ПОТЕРЯН!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pouranesd@cliptik.net
BTC: 3Ge8TedVhoYum3q1DAN42wVftkhH9MRVm2
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Kali)
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer, Michael Gillespie
 Andrew Ivanov, Emmanuel_ADC-Soft
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.