Если вы не видите здесь изображений, то используйте VPN.

пятница, 4 января 2019 г.

Indrik

Indrik Ransomware

(шифровальщик-вымогатель)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, что узнать как заплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

 © Генеалогия: выясняется, явное родство с кем-то не доказано.

 К зашифрованным файлам добавляется расширение: .INDRIK


 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на начало января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: # HOW TO DECRYPT YOUR FILES #.html

Содержание записки о выкупе:
Dead Line 
269 Days 
10 Hours 
21 Minutes 
47 Seconds

UNIQUE IDENTIFICATOR 
[redacted x10F bytes in base64]

 What Happened to My Files? 
All your files have been encrypted using military grade encryption algorithm. 
 Any attempt to decrypt or recovery your files else than use will cause permanent damage to your files. This means you will lose them forever. 
 The only way you can decrypt your files is purchase your unique decryption tool from us. 
 "YOU HAVE ONLY 7 DAYS FOR PURCHASE YOUR DCRYPTION TOOL BEFORE DESTROY ALL YOUR FILES"  
 It is not advised to use third party tools to decrypt, If we find them you, will forever lose your files. 
What is Dead Line? 
It's the last time that you have the opportunity to communicate with us. 
 "AFTER THE COUNTDOWN FINISHED, THE LIFETIME OF YOUR FILES WILL GO DOWN TO ETERNAL DEATH"  
How Can Restore My Files? 
For restore your files and return to the normal state, you must send your request to both the address indrik@tuta.io and indrik@airmail.cc with the same subject. 
 "Note that add the 'UNIQUE IDENTIFICATOR' in the text of email or attach '# HOW TO DECRYPT YOUR FILES #.html' file to the email"  
 Also, in order to further trust us, we are ready to decrypt a single of your file less than 5 megabytes of size for free. 
How To Buy Bitcoin‌? 
Top exchange sites: 
LocalBitcoins (available in 248 countries) 
Coinbase (available in 42 countries) 
 "We suggest that you use LocalBitcoins to buy and transfer Bitcoin"  
Online wallet: 
Blockchain.com 
More guide: 
howtobuybitcoin 

Перевод записки на русский язык:
Крайний срок
269 дней
10 часов
21 минут
47 секунд

 УНИКАЛЬНЫЙ ИДЕНТИФИКАТОР
[содержит x10F байтов в base64]

 Что случилось с моими файлами?
Все ваши файлы зашифрованы с использованием алгоритма шифрования военного уровня.
 Любая попытка расшифровать или восстановить ваши файлы, кроме использования, приведет к необратимому повреждению ваших файлов. Это значит, что вы потеряете их навсегда.
 Единственный способ расшифровать свои файлы - это приобрести у нас уникальный инструмент для расшифровки.
 "У вас есть всего 7 дней для покупки вашего инструмента ДЕШИФРОВАНИЯ, прежде чем уничтожатся все ваши файлы"
 Не рекомендуется использовать сторонние инструменты для расшифровки. Если мы их найдем, вы навсегда потеряете ваши файлы.
Что такое Dead Line?
Это крайний срок, когда у вас есть возможность общаться с нами.
 "ПОСЛЕ ЗАВЕРШЕНИЯ СЧЕТА, СРОК ДЕЙСТВИЯ ВАШИХ ФАЙЛОВ ЗАКОНЧИТСЯ"
Как восстановить мои файлы?
Чтобы восстановить ваши файлы и вернуться в нормальное состояние, вы должны отправить запрос по адресу indrik@tuta.io и indrik@airmail.cc с одинаковой темой.
 «Обратите внимание, что нужно добавить «УНИКАЛЬНЫЙ ИДЕНТИФИКАТОР» в текст email или прикрепите к письму файл '# HOW TO DECRYPT YOUR FILES #.html'
 Кроме того, чтобы еще больше нам доверять, мы готовы бесплатно дешифровать один файл размером менее 5 мегабайт.
Как купить биткоины?
Лучшие сайты обмена:
Местные биткоины (доступны в 248 странах)
Coinbase (доступно в 42 странах)
 "Мы предлагаем вам использовать LocalBitcoins для покупки и перевода биткоинов"
Интернет-кошелек:
Blockchain.com
Еще руководство:
howtobuybitcoin

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# HOW TO DECRYPT YOUR FILES #.html
<random>.exe - случайное название

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
indrik@tuta.io
indrik@airmail.cc
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на

BooM

BooM Ransomware

Variants: Boom, Epsilon, Revenge

BooM NextGen Ransomware

(шифровальщик-вымогатель)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BooM RansomewareНа файле написано: BooM Ransomeware.exe. Разработчик: Mohamed Naser Ahmed. Вымогатель сам сообщил свои данные в социальной сети Facebook для связи. На момент написания статьи его страница уже заблокирована. Позже появились новые варианты, в том числе и заметно переделанные. 
---
Обнаружения: 
DrWeb -> Trojan.Encoder.94, Trojan.Encoder.33426
ALYac -> Trojan.Ransom.Xorist
Avira (no cloud) -> TR/Ransom.Xorist.EJ
BitDefender -> Gen:Variant.Ransom.Boom.1, Trojan.Ransom.AIG
ESET-NOD32 -> A Variant Of MSIL/Kryptik.OLL, A Variant Of Win32/Filecoder.Q
Kaspersky -> Trojan-Ransom.Win32.Xorist.ln
Malwarebytes -> Malware.AI.2631900683, Ransom.Xorist
Microsoft -> Ransom:Win32/Sorikrypt
Qihoo-360 -> Win32/Ransom.Xorist.HgIASOcA
Rising -> Ransom.Sorikrypt!8.8822 (CLOUD)
Tencent -> Win32.Trojan.Raas.Auto, Win32.Trojan.Xorist.Wptd, Trojan.Win32.CryptoTorLocker2015.a
TrendMicro -> Ransom_Sorikrypt.R002C0DAQ21, Ransom_XORIST.SMA
---

 © Генеалогия: Xorist >> BooM > BooM + HiddenTear ⇒ EpsilonCrypt
© Генеалогия: Xorist >> BooM > BooM + другой код > Revenge

Знак "⇒" означает переход на другую разработку. См. Генеалогия

 К зашифрованным файлам добавляется расширение: .Boom

 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Образец этого крипто-вымогателя был найден в начале января 2019 г. Штамп времени создания: 23 декабря 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

 Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
How to decrypt files
Get your pin
Put it in the virus
In order to extract the password to decrypt the files
In a folder on your desktop
Then put it in a password in the small window that will show you
For pin
Talk to me on Facebook
My name = Mohamed Naser Ahmed
my ID = 100027091457754

 Перевод записки на русский язык:
Как расшифровать файлы
Получи свой пин
Поместите это в вирус
Чтобы извлечь пароль для расшифровки файлов
В папке на рабочем столе
Затем введите пароль в маленьком окне, которое покажет вам
Для pin
Поговори со мной на Facebook
Меня зовут Мохамед Насер Ахмед
мой ID = 100027091457754


Запиской с требованием выкупа также выступает экран блокировки (или HTA-файл) и изображение, встающее обоями Рабочего стола.




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
➤ UAC не обходит, требуется рарешение на запуск. 

 Информация для расшифровки: 
PIN: 47848486454474431000546876341354
Password: M95r2jRwkP87rnWt1p281X1u


  

На момент написания статьи страница разработчика BooM Ransomware в социальной сети Facebook уже была заблокирована.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
BooM Ransomeware.exe
b00m.exe
<random>.exe - случайное название

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CLASSES_ROOT\.Boom
HKEY_CLASSES_ROOT\SSTWIPNUVDUSGRM
См. ниже результаты анализов.

 Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT> VT>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
BooM Ransomware - январь 2019
Epsilon Ransomware - январь 2021

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 5 января 2019:
Пост в Твиттере >>
Текстовая записка, некий экран блокировки или HTA-файл.
PIN: 34584384186746875497
Password: B3ht4w316MsyQS47Sx18SA4q
➤ Содержание текста: 
Oooooops All your files have been encrypted
And to encode the files, enter the password
to get a password
Search in Facebook
My name = Mohamed Naser Ahmed
my ID = 100027091457754

 
Результаты анализов: VT + HA


=== 2021 ===

Вариант от 15 января 2021:
Сообщение >>
Смотрите отдельную статью Epsilon Ransomware >>
Самоназвание: Epsilon Ransomware
Расширение: .[neftet@tutanota.com].boom
Email: neftet@tutanota.com
Записка: READ_ME.hta

Файл: B221.exe
Результаты анализов: VT + IA + VMR
➤ Обнаружения: 
DrWeb -> Trojan.EncoderNET.HiddenTear.1
Avira (no cloud) -> HEUR/AGEN.1129970
BitDefender -> Generic.Ransom.Small.E850116C
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Malwarebytes -> Ransom.Crimson
Microsoft -> Trojan:Win32/Ymacco.AA44
Symantec -> Ransom.HiddenTear!g1
TrendMicro -> TROJ_GEN.R002C0OAF21


Вариант от 26 января 2021:
Самоназвание: Revenge Ransomeware.
Заметно отличается от ранних вариантов. 
Распространяется в Китае. 
Расширение: .REVENGE
Записка: ReadToRestore.txt


Файл: Ransomeware.exe
Файл проекта: C:\Users\Chien\Desktop\Revenge-Ransomeware-master\Ransomeware\obj\Debug\Ransomeware.pdb
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33426
Avira (no cloud) -> TR/FileCoder.slajl
BitDefender -> Gen:Heur.Ransom.MSIL.1
ESET-NOD32 -> A Variant Of Generik.DGTJBAN
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Ransom.Agent
Microsoft -> Ransom:MSIL/Revenge.DA!MTB
Qihoo-360 -> Win32/Backdoor.Revenge.HgIASO4A
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Tencent -> Msil.Trojan.Encoder.Hryn
TrendMicro -> Ransom_Encoder.R002C0PAT21



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! 
Ранние варианты можно было расшифровать. 
По более поздним подтверждение не получено. 
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie, Petrovic
 Andrew Ivanov
 GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на

четверг, 3 января 2019 г.

RetMyData

RetMyData Ransomware

(шифровальщик-вымогатель)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем вероятно требует выкуп, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: RansomCrypren.exe

 © Генеалогия: выясняется, явное родство с кем-то не доказано.

 К зашифрованным файлам добавляется расширение: 
.aes256
или 
.aes256.testE

 Фактически используется составное расширение: .recovery_email_[retmydata@protonmail.com]_ID_[FCFABBBE].aes256
или
.recovery_email_[retmydata@protonmail.com]_ID_[FCFABBBE].aes256.testE

 Примеры зашифрованных файлов:
BD14868_.GIF.recovery_email__retmydata@protonmail.com__ID__FCFABBBE_.aes256.testE
FINCL_02.MID.recovery_email__retmydata@protonmail.com__ID__FCFABBBE_.aes256.testE
J0106222.WMF.recovery_email__retmydata@protonmail.com__ID__FCFABBBE_.aes256.testE

 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на начало января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

 Записка с требованием выкупа называется: нет данных

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RansomCrypren.exe 
<random>.exe - случайное название

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as RetMyData)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на

CryCipher

CryCipher Ransomware

PayPalGenerator2019 Ransomware

(шифровальщик-вымогатель)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 

 Обнаружения: 
DrWeb -> Trojan.Encoder.26978
BitDefender -> Trojan.GenericKD.40896401, Trojan.GenericKD.31607356, Generic.Ransom.PWS.Locker
ESET-NOD32 -> A Variant Of PowerShell/Filecoder.P

© Генеалогия: CryCipher > более новые варианты

 Этимология названия:
Я совместил названия двух файлов этого вымогателя Cipher.psm1 и cry.ps1
 и получилось CryCipher. Cipher.psm1 + cry.ps1 = CryCipher

 К зашифрованным файлам добавляется расширение: .locked
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Образец этого крипто-вымогателя был найден в начале января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

На момент написания статьи ничего неизвестно о его массовом распространении. Это может быть тестовый образец будущего Ransomware. Но адрес мог быть написан и с ошибкой, потому уплата выкупа на данный момент бесполезна. 

 Записка с требованием выкупа называется: Readme_now.txt

Содержание записки о выкупе:
Your personal files have been encrypted, send an email to email@protonmail.com to recover them. Your ID: d7b9-068a-8e17

 Перевод записки на русский язык:
Ваши личные файлы были зашифрованы, отправьте email на email@protonmail.com, чтобы восстановить их. Ваш ID: d7b9-068a-8e17

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
➤ Для атаки использует системный Windows PowerShell, разработка компании Microsoft, от которой больше вреда, чем пользы. 

 Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .doc, .gif, .jpg, .mp3, .mp4, .pdf, .png, .ppt, .txt, .wav, .xls, 
Это документы MS Office, PDF, текстовые файлы, фотографии, картинки, музыка, видео.

Файлы, связанные с этим Ransomware:
Readme_now.txt
powershell.pdb
something.exe
SEO.exe
Cipher.psm1
cry.ps1
<random>.exe - случайное название

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\Readme_now.txt

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: email@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 7 февраля 2019:
Пост в Твиттере >>
Расширение: .locked
Записка: Readme_now.txt
Email: pay.ransom@protonmail.com
В ID Ransomware это теперь представлено под именем PayPalGenerator2019.
Файлы: Cipher.psm1 и cry.ps1

Файл EXE: PayPal-Generator-2019.exe
Штамп времени: 30 января 2019. 
UAC не обходит. Требуется разрешение на запуск.
Результаты анализов: VT + VMR

 Обновление от 17 июня 2019:
Пост в Твиттере >>
Расширение: .locked
Записка: Readme_now.txt
Email: servicep073@gmail.com
Файл EXE: IRS_Doc.exe
Результаты анализов: VT


=== 2022 ===

Вариант от 20 июля 2022: 
Расширение: .69
Доп. название: Cipher69 Ransomware
Записка: Readme_now.txt
Email: demo386@onion.com
Список расширений: .3gp, .7z, .avi, .bmp, .doc, .docx, .gif, .iso, .jpeg, .jpg, .mp3, .mp3, .mp4, .mp4, .msi, .pdf, .png, .png, .ppt, .pptx, .py, .rar, .sh, .txt, .wav, .xls, .xlsx, .zip
---
Файлы: Cipher.psm1, payload.exe
Результаты анализов: VT + AR + IA
Обнаружения: 
DrWeb -> PowerShell.Encoder.21
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of PowerShell/Filecoder.Q
Rising -> Ransom.Agent/PS!8.113B7 (CLOUD)
TrendMicro -> Ransom.Win32.SYRK.SM



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as PayPalGenerator2019)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, GrujaRS, Michael Gillespie
 Andrew Ivanov
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на

Vulston

Vulston Ransomware

(шифровальщик-вымогатель)
 Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.18 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

 © Генеалогия: выясняется, явное родство с кем-то не доказано.

 К зашифрованным файлам добавляется расширение: .vulston


 Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Активность этого крипто-вымогателя пришлась на начало января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известно о пострадавших из Бразилии. 

 Записка с требованием выкупа называется: mensagem.txt

Содержание записки о выкупе:
At this moment your files are encrypted
and they can not be decrypted without the key's that are set for your computer.
To receive the decryption keys you have pay 0.18 BITCOIN

You can get bitcoin very easy on this site: www.localbitcoins.com
You have to create an account and to buy 0.18 BITCOIN from a seller located in your city.
Then you have to send the amount at this BTC adress: 1L4da3SCbo9w3Y1F3HoVxjyn7yTTXcWhUw
After that, contact me at this email adress: vuleston@gmx.com
With this subject: KEYS FOR ID 12345678mensagem.
After the payment you will receive the key's to decrypt your files and a tutorial
The key's that are older than 3 days will be automaticaly deleted.
If you don't want to lose your files, please contact me in this 3 days.

 Перевод записки на русский язык:
На данный момент ваши файлы зашифрованы
и они не могут быть расшифрованы без ключей, которые настроены для вашего компьютера.
Для получения ключей расшифровки вам нужно заплатить 0,18 БИТКОИНА
Вы можете легко получить биткоины на этом сайте: www.localbitcoins.com
Вы должны создать учетную запись и купить 0,18 BITCOIN у продавца, расположенного в вашем городе.
Затем вы должны отправить сумму на этот BTC адрес: 1L4da3SCbo9w3Y1F3HoVxjyn7yTTXcWhUw
После этого свяжитесь со мной по этому email-адресу: vuleston@gmx.com
С этой темой: KEYS FOR ID 12345678mensagem.
После оплаты вы получите ключи для расшифровки ваших файлов и учебник
Ключи старше 3 дней будут автоматически удалены.
Если вы не хотите потерять свои файлы, пожалуйста, свяжитесь со мной в течение этих 3 дней.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
mensagem.txt
<random>.exe - случайное название

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: vuleston@gmx.com
BTC: 1L4da3SCbo9w3Y1F3HoVxjyn7yTTXcWhUw
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

 Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Автор: на
Подписаться на: Сообщения (Atom)

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *