Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
К зашифрованным файлам добавляется расширение: .encrypted Оно встраивается между именем и расширением зашифрованного файла по шаблону: <name>.encrypted.<extension> Пример: document.txt -> document.encrypted.txt Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных и немецкоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки с переключателем интерфейса на английском и немецком языках. :
Содержание текста с экрана: [English] [Deutsch] Sorry, your files have been eaten (encrypted) by Pacman To decrypt your files, a fee paid in Bitcoin is required. Pacman will scan the Bitcoin Blockchain to check for your payment and automatically decrypt your files, after the payment has been made. Amount USD [1500] Amount BTC [0.2] Bitcoin Address [17yKCVNb7EQQpr5ABKGcVpGSPVWFTxhReR] [Check for payment] Help How to buy Bitcoin? (click) Further Assistance? Write to pacman.support@protonmail.com Перевод текста на русский язык: [Английский] [Немецкий] Извините, ваши файлы съедены (зашифрованы) Pacman Для расшифровки ваших файлов нужна плата в биткойнах. Pacman сканирует Биткоин Блокчейн, проверит ваш платеж, и автоматом расшифрует ваши файлы после сделанного платежа. Сумма в $ США [1500] Сумма в BTC [0,2] Биткоин-адрес [17yKCVNb7EQQpr5ABKGcVpGSPVWFTxhReR] [Проверка оплаты] Помощь Как купить биткоин? (клик) Помощь после? Пишите на pacman.support@protonmail.com
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: <random>.exe - случайное название Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Email: pacman.support@protonmail.com BTC: 17yKCVNb7EQQpr5ABKGcVpGSPVWFTxhReR См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid analysis >> 𝚺 VirusTotal analysis >> 🐞 Intezer analysis >> ⴵ VMRay analysis >> Ⓥ VirusBay samples >> ⨇ MalShare samples >> ᕒ ANY.RUN analysis >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter + myTweet
ID Ransomware (ID as ***)
Write-up, Topic of Support
*
Thanks:
MalwareHunterTeam
Andrew Ivanov (author)
***
***
К зашифрованным файлам добавляется расширение: .Marozka
Этимология названия: На сайте вымогателей написано, что это якобы сделали совместно российские и американские хакеры. В такой тандем не верится хотя бы потому, что в названии Marozka сделано сразу две ошибки. Правильный вариант, который бы написали даже самые малограмотные хакеры, назывался бы, как оригинальный кинофильм - "Морозко". Трудно найти российского и постсоветского человека, который сделал бы в названии сразу две ошибки.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец марта 2019 г. Штамп времени: 27 марта 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt
Содержание записки о выкупе: All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms. All encrypted files are formatted .Marozka. This form files '.Marozka' is a joint development ENGLISH and RUSSIAN Hackers. You can only recover files using a decryptor and password, which, in turn, only we know. It is impossible to pick it up. Reinstalling the OS will not change anything. No system administrator in the world can solve this problem without knowing the password In no case do not modify the files! But if you want, then make a backup. Drop us an email at the address silena.berillo@gmail.com if within 12 hours you do not respond to hto2018@yandex.ru for further insertions You have 24 hours left. If they are not decrypted then after 24 hours they will be removed!!! You can also decrypt files automatically on our website https://proverka.host Перевод записки на русский язык (грамотность оригинала!): Вся ваша информация (документы, базы данных, резервные копии и другие файлы) этого компьютера была зашифрована с самыми криптографическими алгоритмами. Все зашифрованные файлы отформатированы .Marozka. Эта форма файлов '.Marozka* является совместной разработкой ENGLISH и RUSSIAN Hackers. Вы можете восстановить файлы только с помощью расшифровщика и пароля, которые, в свою очередь, знаем только мы. Это невозможно подобрать. Переустановка ОС ничего не изменит. Ни один системный администратор в мире не сможет решить эту проблему, не зная пароля Ни в коем случае не изменяйте файлы! Но если хочешь, то сделай бэкап. Напишите нам на email по адресу silena.berillo@gmail.com если в течение 12 часов вы не ответите, то на hto2018@yandex.ru для дальнейших вставок У вас осталось 24 часа. Если они не расшифрованы, то через 24 часа они будут удалены !!! Вы также можете расшифровать файлы автоматически на нашем сайте https://proverka.host
Другим информатором жертвы является изображение с текстом, заменяющее обои Рабочего стола.
Рабочий стол после атаки Marozka Ransomware
Оригинальное изображение Marozka.jpg
Скриншоты с сайта MAROZKA-DECRYPTOR, где вымогатели предлагают купить дешифровщик, показывают напоминание вымогателей о том, что купить дешифровщик (декриптор) нужно в течение 24 часов.
Содержание текст с этого сайта: MAROZKA-DECRYPTOR CAREFULLY READ THE INSTRUCTIONS BELOW. DECRYPTION COST IS $ 100. YOU NEED TO HURRY LET ME REMIND YOU HAVE 24 HOURS CHOOSE ONE OF THE PROPOSED DECRYPTION METHODS 1.WRITE TO US 2.OR MAKE THE PAYMENT YOURSELF. INSTRUCTIONS BELOW. Enter your name Enter your E-mail Computer name (C :\\'User'\) WRITE TO US MAROZKA PROGRAM WAS DEVELOPED JOINTLY BY RUSSIAN AND AMERICAN DEVELOPERS Only our program can decrypt files. Any independent attempts to decrypt files will delete them once and for all. --- PAYMENT Make a payment of 100 US dollars. On the bitcoin wallet 1NKtjyNax9cQuMYxLXfHWEKwRHac6gTeHc Then you will be given a program and a key. --- PAYMENT PROCEDURE When paying in the form of a comment, enter your email address (email), after successful payment the program and password will be sent to decrypt. --- FILE DECRYPTION Specify the received password after payment and press the button to decrypt the files. Then all files are decrypted. ---
You can also buy the source code of the programs by writing to us. Сайт вымогателей hide-hide-hide.000webhostapp.com размещен на временном хостинге. Туда можно зайти и просмотреть все папки и файлы.
Скриншоты с временного сайта вымогателей
Технические детали
Распространяется как фальшивый PDF-файл. Используются два сайта, один расположен на временном хостинге, другой специально зарегистрирован. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: .001, .7-zip, .ace, .apk, .arj, .asp, .aspx, .avi, .bmp, .bz2, .c, .cab, .contact, .core, .cpp, .crproj, .cs, .csv, .dat, .db, .dll, .doc, .docx, .dwg, .exe, .f3d, .gzip, .htm, .html, .ico, .iso, .jar, .jpg, .lnk, .lzh, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .pas, .pdb, .pdf, .php, .png, .ppt, .pptx, .psd, .py, .rar, .rtf, .settings, .sln, .sql, .tar, .torrent, .txt, .uue, .xls, .xlsx, .xml, .xz, .z, .zip (67 расширений). Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы контактов, ярлыки и пр. Целевые директории для шифрования: "Desktop"; "Links"; "Contacts"; "Documents"; "Downloads"; "Pictures"; "Music"; "OneDrive"; "Saved Games"; "Favorites"; "Searches"; "Videos" Файлы, связанные с этим Ransomware: Marozka.zip - файл находится на сайте Marozka.exe - находится внутри архива Marozka.jpg - загружается и устанавливается с сайта HOW TO DECRYPT FILES.txt - записка о выкупе <random>.exe - случайное название
Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: URL декриптора: xxxxs://proverka.host/ URL вымогателей: xxxxs://hide-hide-hide.000webhostapp.com URL изображения: xxxxs://hide-hide-hide.000webhostapp.com/hide/Marozka.jpg Email: silena.berillo@gmail.com, hto2018@yandex.ru BTC: 1NKtjyNax9cQuMYxLXfHWEKwRHac6gTeHc См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid analysis >> 𝚺 VirusTotal analysis >>VT>> 🐞 Intezer analysis >> ⴵ VMRay analysis >> Ⓥ VirusBay samples >> ⨇ MalShare samples >> ᕒ ANY.RUN analysis >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на середину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе: -YOUR FILES HAVE BEEN LOCKED- What Happend? All your personal files have been locked and you need to pay a ransom to get them back. You will have 24 hours to pay nor the password will be deleted of our servers making it impossible to get your files back. How do i pay? You will need to send an message to the below discord with a $50 amazon giftcard code. Then you will shortley get an message back with a password to unlock your files. Discord: UNNAM3D#6666 Перевод записки на русский язык: - ВАШИ ФАЙЛЫ ЗАБЛОКИРОВАНЫ- Что случилось? Все ваши личные файлы были заблокированы, и вам нужно заплатить выкуп, чтобы вернуть их. У вас будет 24 часа на оплату, а пароль с наших серверов не будет удален, что сделает невозможным получение ваших файлов обратно. Как мне оплатить? Вам нужно будет отправить сообщение на discord ниже с кодом подарочной карты Amazon на $50. Затем вы получите сообщение с паролем, чтобы разблокировать ваши файлы. Discord: UNNAM3D#6666
Технические детали
Распространяется с помощью email-спама и вредоносных вложений. Рассылаемый email-спам называется электронной почтой от Adobe, в которой говорится, что Adobe Flash Player получателя устарел и нуждается в обновлении. Эти письма содержат ссылку на поддельное обновление Adobe Flash Player, которое устанавливает UNNAM3D Ransomware.
После запуска в системе UNNAM3D извлекает исполняемый файл WinRar.exe в папку %Temp% и выполняет команду %Temp%\WinRar.exe -m -r -p[password] [directory], чтобы переместить файлы в указанном каталог к защищенному паролем архиву. В ходе этой операции вымогатель переместит файлы из папок "Документы", "Изображения" и "Рабочий стол" в свои собственные RAR-архивы с паролем.
После завершения появится экран под названием Unnam3d - R@nsomware (см. выше).
После модификации вполне может изменить метод распространения и начать распространяться с помощью обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: pictures.rar, documents.rar, desktop.rar - папки с файлами, помещенные в RAR-архив UNNAM3D - RANSM.exe winrar.exe - используемая копия архиватора WinRar wallpaper.png, wallpaper.bmp - изображения, используемые для замены обоев Рабочего стола и пока в экране блокировки <random>.exe - случайное название Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> %TEMP%\winrar.exe %TEMP%\wallpaper.png %TEMP%\wallpaper.bmp %APPDATA%\winrar\version.dat %HOMEPATH%\pictures\pictures.rar %HOMEPATH%\documents\documents.rar %HOMEPATH%\desktop\desktop.rar %APPDATA%\winrar\version.dat Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Discord: UNNAM3D#6666 YouTube-URL: xxxxs://www.youtube.com/channel/UC-A0Hd1YtwiVMx33pY7qI8g
См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid analysis >> 𝚺 VirusTotal analysis >>VT>> 🐞 Intezer analysis >> ⴵ VMRay analysis >>VMR>> Ⓥ VirusBay samples >> ⨇ MalShare samples >> ᕒ ANY.RUN analysis >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: средняя. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter + Tweet + myTweet
ID Ransomware (ID as ***)
Write-up, Topic of Support
*
Thanks:
Lawrence Abrams
Andrew Ivanov (author)
***
to the victims who sent the samples
Вероятно, его можно записать .<RANDOM{10-12}> Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые пострадавшие из Китая. Записка с требованием выкупа называется: YOUR FILES ARE ENCRYPTED.TXT
Содержание записки о выкупе: ====== Attention! ====== All your files, documents, photos, databases and other important files are encrypted and have the extension: .YYYYBJQOQDU You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. To be sure we have the decryptor and it works you can send an email supportd@tfwno.gf and decrypt one file for free. But this file should be of not valuable! Do you really want to restore your files? Write to email supportd@tfwno.gf Your personal ID: [10 uppercase hex] Attention! * Do not rename encrypted files. * Do not try to decrypt your data using third party software, it may cause permanent data loss. * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. Перевод записки на русский язык: ====== Внимание! ====== Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .YYYYBJQOQDU Вы не можете расшифровать это самостоятельно! Единственный способ восстановления файлов - это покупка уникального закрытого ключа. Только мы можем дать вам этот ключ, и только мы можем восстановить ваши файлы. Чтобы убедиться, что у нас есть расшифровщик, и он работает, вы можете отправить письмо на email supportd@tfwno.gf и дешифровать один файл бесплатно. Но этот файл не должен быть ценным! Вы действительно хотите восстановить ваши файлы? Напишите на email supportd@tfwno.gf Ваш личный ID: [10 заглавных букв] Внимание! * Не переименовывайте зашифрованные файлы. * Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных. * Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою плату к нашей), или вы можете стать жертвой мошенничества.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: YOUR FILES ARE ENCRYPTED.TXT <random>.exe - случайное название Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ -> Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Email: supportd@tfwno.gf BTC: - См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid analysis >> 𝚺 VirusTotal analysis >> 🐞 Intezer analysis >> ⴵ VMRay analysis >> Ⓥ VirusBay samples >> ⨇ MalShare samples >> ᕒ ANY.RUN analysis >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 15 мая 2019: Пост в Твиттере >> Расширение: .<RANDOM{10-12}> Записка: YOUR FILES ARE ENCRYPTED.TXT Email: helper@tfwno.gf, helperx@tuta.io
➤ Содержание записки: o;? ====== Attention! ====== All your files, documents, photos, databases and other important files are encrypted and have the extension: .OOOKJYHCTVDF You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files. To be sure we have the decryptor and it works you can send an email helper@tfwno.gf (reserve helperx@tuta.io) and decrypt one file for free. But this file should be of not valuable! Do you really want to restore your files? Write your rersonal ID to email helper@tfwno.gf Your personal ID: [redacted 10 uppercase hex] Attention! * Do not rename encrypted files. * Do not try to decrypt your data using third party software, it may cause permanent data loss. * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter + Tweet + myTweet
ID Ransomware (n/a)
Write-up, Topic of Support
*
Thanks:
Michael Gillespie
Andrew Ivanov (author)
***
to the victims who sent the samples