Если вы не видите здесь изображений, то используйте VPN.

четверг, 3 октября 2019 г.

Lost_Files

Lost_Files Ransomware

(фейк-шифровальщик, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в 500$ в BTC, чтобы вернуть файлы. Оригинальное название: Lost_Files Ransomware. На файле написано: Lost_Files.exe.

Обнаружения:
DrWeb -> Trojan.Siggen8.50271, Trojan.Starter.7899
BitDefender -> Generic.Ransom.Hiddentear.A.B2914DE7, Gen:Variant.Johnnie.205743
ESET-NOD32 -> A Variant Of MSIL/Filecoder.IX, Win32/Agent.ABDB, MSIL/Filecoder.VD
Malwarebytes -> Ransom.HiddenTear
Symantec -> Trojan.Gen.MBT, ML.Attribute.HighConfidence
TrendMicro -> Ransom_RAMSIL.SM, TROJ_GEN.R007C0DE820

© Генеалогия: ✂️ HiddenTear + другой код >> Lost_Files

На самом деле там нет HiddenTear в полном виде, а только часть кода. Кроме того, файлы повреждаются. 
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Lost_Files_Encrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец сентября - начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

Вместе с ними появляется экран фальшивого сканера Windows. 

Вот как это выглядит в реальности. 
Комбинированное изображение с экраном, сообщением и прочими элементами. 

Содержание текста из экрана блокировки:
Attention!!! First of all we are terribly sorry to have encrypted your data. Because we are human too and we feel some guilt encrypting your data. We offer that we can help you decrypt it again for a small amount of Bitcoins(BTC).
The amount that we need from you is 500 USD that you will transfer to our BTC account. To Get your unique tool to decrypt your files, your need to push the button below and your BTC payment address will show, transfer 500 USD in BTC to that address. After you have transfered the BTC you are going to send an email to our email address(Our email will also get displayed when pushed the button). Where you provide your BTC address of the wallet that you used to send our BTC(If you have other comments, you are welcome to say it)[Also remerber to check your spam inbox for when we send your decryption
tool]. We will check it, if you have sent the BTC, you will get your decryption tool. Everything from family memories to the hard work of yours, will be washed down the toilet and it will never return. So it's strongly advised that you start paying us for helping you to decrypt it. In the case that you are a little older and don't know much about all the computer stuff then you can ask your children or grandchildren.
PLEASE Look below for additional information.
Needing help to get your BTC?
Some resources to get started with BTC:
https://coinsutra.com/buy-bitcoin-uk/
https://cryptocurrencytutors.com/getting-started-with-bitcoin/
https://blokt.com/guides/10-best-bitcoin-cryptocurrency-exchanges-2019-proven-safe-exchanges
Keep in mind!
When you buy BTC you should buy slightly more than 500 USD, just in case the price drops. Also you need it as sending fees which varies at times. So it's recommended to buy 510 USD worth of BTC from one of the exchanges. Then again we are sorry for what happened to you, hope you will have better luck next time! :-)

Перевод текста на русский язык:
Внимание!!! Прежде всего нам очень жаль шифровывать ваши данные. Потому что мы тоже люди и чувствуем вину, зашифровывая ваши данные. Мы предлагаем, что мы можем помочь вам снова расшифровать его за небольшое количество биткойнов (BTC).
Сумма, которая нам нужна от вас, составляет 500$ США, которые вы перечисляете на наш счет BTC. Чтобы получить уникальный инструмент для расшифровки ваших файлов, вам нужно нажать на кнопку ниже, и ваш платежный адрес BTC покажет, перевести 500 долларов США в BTC на этот адрес. После того, как вы передали BTC, отправьте электронное письмо на наш email-адрес (наше письмо также будет отображаться при нажатии кнопки). Где вы предоставляете свой BTC адрес кошелька, который вы использовали для отправки нашего BTC (Если у вас есть другие комментарии, вы можете это сказать) [Также не забывайте проверять свой почтовый ящик на спам, когда мы отправим ваш инструмент дешифрования]. Мы проверим это, если вы отправили BTC, вы получите инструмент для расшифровки. Все, от семейных воспоминаний до тяжелой работы, будет смыто в унитазе и никогда не вернется. Поэтому настоятельно рекомендуется, чтобы вы начали платить нам за помощь в расшифровке. В случае, если вы немного старше и мало знаете обо всех компьютерных вещах, вы можете спросить своих детей или внуков.
ПОЖАЛУЙСТА, смотрите ниже для получения дополнительной информации.
Нужна помощь, чтобы получить BTC?
Некоторые ресурсы для начала работы с BTC:
https://coinsutra.com/buy-bitcoin-uk/
https://cryptocurrencytutors.com/getting-started-with-bitcoin/
https://blokt.com/guides/10-best-bitcoin-cryptocurrency-exchanges-2019-proven-safe-exchanges
Имейте ввиду!
Когда вы покупаете BTC, вы должны купить чуть больше 500$, на случай, если цена упадет. Также вам это нужно, так как плата за отправку варьируется в разы. Поэтому рекомендуется купить BTC стоимостью 510 долларов США на одной из бирж. Опять же, мы сожалеем о том, что случилось с вами, надеюсь, вам повезет в следующий раз! :-)


---

Содержание другого текста о выкупе:
Hi, This is Lost_Files Ransomware, Pay us 500 USD to get our decryption software. So that you can get your files back. The payment is going to be paid in Bitcoin(BTC). For more information about this please click the same EXE file you clicked when you lost all your files. There will be detailed instruction there.
The email is: Lost_Files_Ransom@secmail.pro
Transfer BTC to this address: 13nRGetwvc7UZF8P5KM9bWqHGK6tMk7wyf

Перевод текста на русский язык:
Привет, это Lost_Files Ransomware, платите нам 500$ США, чтобы получить нашу программу для расшифровки. Так вы сможете вернуть свои файлы. Оплата принимается в биткойнах (BTC). Для информации об этом, пожалуйста щелкните тот же EXE-файл, который вы щелкнули, когда Вы потеряли все свои файлы. Там будет подробная инструкция.
Адрес email: Lost_Files_Ransom@secmail.pro
Переведите BTC на этот адрес: 13nRGetwvc7UZF8P5KM9bWqHGK6tMk7wyf




Технические детали

Распространяется с помощью email-спама и вредоносного вложения, имитирует письмо от Microsoft с темой "Virus Detection On Your Computer!". 
В письме сообщается, что на компьютере обнаружен троянский конь, и получатель должен загрузить ссылку на "security scanner". 

Может распространяться путём взлома через незащищенную конфигурацию RDP, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.asp, .ASP, .aspx, .ASPX, .avi, .AVI, .bat, .BAT, .bk, .BK, .bmp, .BMP, .css, .CSS, .csv, .CSV, .divx, .DIVX, .doc, .DOC, .docx, .DOCX, .html, .HTML, .index, .INDEX, .JPEG, .jpeg, .jpg, .JPG, .mdb, .MDB, .mkv, .MKV, .mov, .MOV, .mp3, .MP3, .mp4, .MP4, .mpeg, .MPEG, .odt, .ODT, .ogg, .OGG, .pdf, .PDF, .php, .PHP, .png, .PNG, .ppt, .PPT, .pptx, .PPTX, .psd, .PSD, .rar, .RAR, .sln, .SLN, .sql, .SQL, .txt, .TXT, .wav, .WAV, .wma, .WMA, .wmv, .WMV, .xls, .XLS, .xlsx, .XLSX, .xml, .XML, .zip, .ZIP (80 расширений с дублями в верхнем регистре).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ В реальности файлы не зашифрованы, но вымогатель изменяет первую строку файла и повреждает двоичные данные. Уплата выкупа бесполезна!  



Файлы оказываются поврежденными, потому что программа использует File.ReadAllLines метод для чтения содержимого файла в массив. Поскольку эта функция предназначена для использования в текстовых файлах, то большая часть прочитанных двоичных данных изображений, документов, электронных таблиц и т.д. будет повреждена. Неизвестно, это намеренная функция портит данные или следствие ошибки разработчика. 

Файлы, связанные с этим Ransomware:
WSS.zip - архив с вредоносными файлами
Windows Security Scanner.exe - фальшивый Windows-файл
SecurityUpdater.exe.exe - фальшивый Windows-файл
/Resources/ - скрытая папка в архиве
Lost_Files.exe - вредоносный файл
Lost_Files.pdb - оригинальное название файла проекта
<random>.exe - случайное название вредоносного файла



Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Windows Security Scanner/
Windows Security Scanner/Resources/
Windows Security Scanner/Resources/32BitRun.exe
Windows Security Scanner/Resources/Installer_exe.exe
Windows Security Scanner/Resources/SecurityUpdater.exe.exe
Windows Security Scanner/Resources/ShortCutVBS.vbs
Windows Security Scanner/Resources/Temp_Test.tester
Windows Security Scanner/Resources/Windows.LNK
Windows Security Scanner/Windows Security Scanner.exe
Windows Security Scanner/desktop.ini

Оригинальное название проекта: 
C:\Users\lenovo\source\repos\Junk_Code_Lost_Files\Lost_Files\Lost_Files\obj\Release\Lost_Files.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Malware URL: xxxx://104.168.159.201/WSS.zip
Email: Lost_Files_Ransom@secmail.pro
Email из письма на экране: safe@safeplacesllc.com
BTC: 13nRGetwvc7UZF8P5KM9bWqHGK6tMk7wyf
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>> VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Lost_Files)
 Write-up, Write-up, Topic of Support
 * 
 - Видеообзор атаки Lost_Files Ransomware, сделанный мной c помощью сервиса ANY.RUN
 Thanks: 
 Xavier Mertens, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 2 октября 2019 г.

D00mEd

D00mEd Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128+RSA-2048, а затем требует написать на email вымогателей, чтобы узнать, как вернуть файлы. Оригинальное название: D00mEd Virus, указано в записке. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->


© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .D00mEd


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_MEE.txt

Содержание записки о выкупе:
         ======          DOOmEd Virus (important)          ======
All Your Important files have been Encrypted with D00mEd virus. If you value your files and will like to get them back, you have to contact us to get the unlock key to Decrypt your files so you can start using them again. If not you loose your files forever.
You have limited time to contact us because your unlock key won't be with us very long!
All files are encrypted with RSA-2048 and AES-128 ciphers.
NOTE:
=============
Folders Encrypted:
  Files Encrypted:
How do i get the key to unlock my files?
You will have to pay for it. Contact us quickly!
Its a reasonable price. Just [
Send Email to us = {

Перевод записки на русский язык:
====== DOOmEd Virus (важно) ======
Все Ваши важные файлы были зашифрованы вирусом D00mEd. Если вы цените свои файлы и хотите получить их обратно, вам надо связаться с нами, чтобы получить ключ разблокировки для расшифровки ваших файлов, чтобы вы могли начать использовать их снова. Если нет, вы потеряете свои файлы навсегда.
У вас мало времени, чтобы связаться с нами, потому что ваш ключ разблокировки не будет у нас очень долго!
Все файлы зашифрованы с использованием шифров RSA-2048 и AES-128.
ПРИМЕЧАНИЕ:
=============
Папки зашифрованы:
   Зашифрованные файлы:
Как получить ключ для разблокировки моих файлов?
Вам придется заплатить за это. Свяжитесь с нами быстро!
Это разумная цена. Только что [
Отправить нам письмо = {



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_MEE.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as D00mEd)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Project Root

Project Root Ransomware

(шифровальщик-вымогатель, RaaS) (первоисточник на русском)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Project Root. Написан на языке Go. Предназначен для Windows и Linux (для x32 и x64 систем). 


Обнаружения:

DrWeb -> Trojan.Encoder.32554
BitDefender -> Gen:Variant.Ransom.GoRansom.3
Avira (no cloud) -> HEUR/AGEN.1117040
ESET-NOD32 -> A Variant Of Win64/Filecoder.AX
Malwarebytes -> ***
Rising -> Trojan.Generic@ML.80 (RDML:***
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09IE20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Project Root. Начало

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Lulz



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 



Этимология названия: 

За основу видимо взято название одноименной онлайн-игры "Project Root". Хотя это может быть лишь сопоставлением известных слов, словосочетание которых просто понравилось разработчикам-стартаперам вымогательского проекта. 

Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Записка с требованием выкупа называется: Fuck.txt




Содержание записки о выкупе:
You are hacked
your all files have been encrypted
if you want you files back
email us here : sxvcsacobyzurlock@protonmail.com with your unique id => QUOWQKOQPAYVOUBSURCVEXLRNOSKSLFY
Fuck you!!!

Перевод записки на русский язык:

Ты взломан
все твои файлы зашифрованы
если ты хочешь вернуть файлы
пиши нам сюда: sxvcsacobyzurlock@protonmail.com с твоим уникальным id => QUOWQKOQPAYVOUBSURCVEXLRNOSKSLFY
Иди ты!!!

Также загружает изображение, заменяющее обои Рабочего стола.





Технические детали

Распространяется на форумах кибер-андеграунда как RaaS. Стартаперы набирают партнеров. Вымогательский проект доступен в двух версиях. "Стандартная" версия стоит $150 в биткойнах и позволяет генерировать неограниченное количество "базовых" полезных данных через свой портал, а также компоненты управления и распространения ключей. Обновления этой версии бесплатны в течение 6 месяцев. В течение последних двух недель цена стандартной версии колебалась от $50 до "Бесплатной". "Pro" версия обеспечивает лучшую поддержку, более длительный срок бесплатных обновлений и расширенные возможности уклонения от анализа. Покупатели получают полный доступ к исходному коду для расширенных "возможностей настройки" и приложение-конструктор . Pro-версия рекламировалась все время, но официально "запущена" 17 октября. 


После покупки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.



Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Шифровальщик пытается очистить локальные журналы событий Windows и установить новый корневой сертификат. 


Список файловых расширений, подвергающихся шифрованию:

.001, .3fr, .7z, .accdb, .ai, .apk, .arch00, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bin, .bkf, .bkp, .blob, .bsa, .c, .cab, .cas, .cdr, .cer, .cfr, .con, .cpp, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .indd, .iso, .itdb, .itl, .itm, .itm, .iwd, .jpe, .jpeg, .jpg, .js, .kdc, .kf, .lbf, .litemod, .lng ttarch2, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mdf, .mef, .menu, .mlx, .mp3, .mp4, .mpq, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sb, .sc2save, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .t12, .t13, .tax, .tor, .torrent, .txt, .unity3d, .upk, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wma, .wmo, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .ztmp (196 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

Fuck.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:

\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:

См. ниже результаты анализов.

Мьютексы:

См. ниже результаты анализов.

Сетевые подключения и связи:

Загрузка картинки: https://i.postimg.cc/pdbqqS5P/new.jpg
Загрузка картинки: https://postimg.cc/Snd6KDGP
Tor-URL: http://prootk6nzgp7amie.onion
DNS: ec2-3-18-214-41.us-east-2.compute.amazonaws.com
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

🔻 Triage analysis >>  TG>
Hybrid analysis >>  HA>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.

Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Write-up-2, Topic of Support
 * 
 Thanks: 
 Jim Walter (SentinelOne)
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.


AepCrypt

AepCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 400€ в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->

© Генеалогия: Matrix? > AepCrypt
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .aep


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на греческих пользователей, что не мешает распространять его по всему миру. Вполне возможно, что есть англоязычные и иноязычные версии. 

Записка с требованием выкупа называется: #READ ME - YOUR FILES ARE LOCKED#.rtf


Содержание записки о выкупе:
               !!! ΣΗΜΑΝΤΙΚΗ ΠΛΗΡΟΦΟΡΙΑ !!!!
Τα περισσότερα και πιο πολύτιμα αρχεία σας στον "σκληρό" δίσκο του υπολογιστή σας αλλά και τους εξωτερικούς "σκληρούς" σας δίσκους είναι κρυπτογραφημένα με κρυπτογράφηση AES-256.
Περισσότερες πληροφορίες σχετικά με το AES μπορείτε να βρείτε εδώ:
      http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Η αποκρυπτογράφηση των αρχείων σας είναι δυνατή μόνο με το ιδιωτικό κλειδί και το πρόγραμμα αποκρυπτογράφησης Decryptor.
Το ειδικό λογισμικό Decryptor σας επιτρέπει την αποκρυπτογράφηση και τον έλεγχο όλων των κρυπτογραφημένων σας αρχείων.
Ο μόνος τρόπος για να λάβετε το ιδιωτικό σας κλειδί και το πρόγραμμα αποκρυπτογράφησης είναι ο παρακάτω:
ΑΓΟΡΑ DECRYPTOR
Μπορείτε να πραγματοποιήσετε πληρωμή ΜΟΝΟ με bitcoins.
Στείλτε 400 ΕΥΡΩ σε Bitcoins στο Bitcoin λογαριασμό: 
1GvGv6XQ6Zq2fXT61Vj1B1XdV5FUdBhtAQ
  Παρατήρηση: Η διαδικασία της επιβεβαίωσης της συναλλαγης μπορεί να πάρει εώς και 1-6 ώρες το πολύ.
Προσωπικό ID: 185***
Στείλτε το προσωπικό σας ID και το ID της συναλλαγής Bitcoins στο email: 
 upeditco@gmail.com 
και θα λάβετε το link για να μεταβείτε στην ιστοσελίδα για την λήψη του αποκρυπτογραφητή καθώς επίσης και τον μοναδικό σας κωδικό αποκρυπτογράφησης.
                !! ΠΡΟΣΟΧΗ !!
Το πρόγραμμα και το προσωπικό κλειδί αποκρυπτογράφησης είναι διαθέσιμα για 
Εφτά (7) και ΜΟΝΟ ημέρες. 
Μετά την πάροδο των 7 ημερών καμία συναλλαγή δεν θα ληφθεί υπόψιν και τα αρχεία σας θα μείνουν για ΠΑΝΤΑ ΚΛΕΙΔΩΜΕΝΑ.
Προσωπικό ID: 185987 Διάρκεια μέχρι και 5/10/2019.
ΠΩΣ ΜΠΟΡΕΙΤΕ ΝΑ ΑΠΟΚΤΗΣΕΤΕ BITCOINS
1) Χρειάζεται να αποκτησέτε ένα bitcoin πορτοφόλι.
Το πιο απλό ψηφιακό πορτοφόλι - https://login.blockchain.com/el/#/signup
ή
άλλοι τρόποι δημιουργίας πορτοφολιού - https://www.wikihow.com/Create-an-Online-Bitcoin-Wallet
2) Η αγορά bitcoins γίνεται κάθε μέρα και πιό εύκολη.
Σας προτείνουμε:
https://localbitcoins.com Η υπηρεσία αυτή σας επιτρέπει να βρίσκετε ανθρώπους στον τόπο διαμονή σας που μπορούν να σας πουλήσουν τα bitcoins άμεσα.
https://localbitcoins.com/buy-bitcoins-online/ - Ίδια υπηρεσία για εύκολη και αξιόπιστη αγορά bitcoins online.
https://coincafe.com/ - Απλή και εύκολη εξυπηρέτηση.
https://cex.io/index/ - Αγορά bitcoins με VISA/MASTERCARD ή με τραπεζικό έμβασμα.
Αλλοι διαδικτυακοί τρόποι αγοράς bitcoins:
https://btcdirect.eu/
https://bitquick.co/
https://howtobuybitcoins.info/#!/
https://www.coinjar.com/eu/
https://bittylicious.com/
https://anxpro.com/



Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Большинство ваших ценных файлов на жестком диске вашего компьютера и внешних жестких дисках зашифрованы с шифрованием AES-256.
Более подробную информацию об AES можно найти здесь:
      http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Расшифровка ваших файлов возможна только с помощью закрытого ключа и программы расшифровки Decryptor.
Специальное программное обеспечение Decryptor позволяет расшифровывать и контролировать все зашифрованные файлы.
Единственный способ получить ваш закрытый ключ и расшифровать программу ниже:
КУПИТЬ ДЕКРИПТОР
Вы можете оплатить только биткойнами.
Отправьте 400 евро на биткойны в биткойн-аккаунте:
1GvGv6XQ6Zq2fXT61Vj1B1XdV5FUdBhtAQ
  Примечание. Процесс подтверждения транзакции может занять до 1-6 часов.
Персональный ID: 185 ***
Отправьте ваш персональный ID и номер транзакции биткойнов на email:
 upeditco@gmail.com
и вы получите ссылку для перехода на сайт для загрузки декодера, а также ваш уникальный код дешифрования.
                !! ВНИМАНИЕ !!
Программа и личный ключ расшифровки доступны 
Семь (7) и ТОЛЬКО дней.
Через 7 дней никакие транзакции не будут приняты во внимание, и ваши файлы останутся ВСЕГДА ЗАБЛОКИРОВАННЫМИ.
Персональный ID: 185*** Время до 5/10/2019.
КАК ПОЛУЧИТЬ БИТКОИНЫ
1) Вам необходимо получить биткойн-кошелек.
Самый простой цифровой кошелек - https://login.blockchain.com/en/#/signup
или
другие способы создания кошелька - https://www.wikihow.com/Create-an-Online-Bitcoin-Wallet
2) Покупать биткойны становится все легче и легче с каждым днем.
Мы рекомендуем:
https://localbitcoins.com Этот сервис позволяет вам найти людей по месту жительства, которые могут напрямую продавать вам биткойны.
https://localbitcoins.com/buy-bitcoins-online/ - Собственный сервис для простой и надежной покупки биткойнов онлайн.
https://coincafe.com/ - Простое и удобное обслуживание.
https://cex.io/index/ - Покупайте биткойны с помощью VISA / MASTERCARD или банковским переводом.
Другие способы купить биткойны онлайн:
https://btcdirect.eu/
https://bitquick.co/
https://howtobuybitcoins.info/#!/
https://www.coinjar.com/eu/
https://bittylicious.com/
https://anxpro.com/



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ В конце каждого зашифрованного файла есть маркер AEP. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#READ ME - YOUR FILES ARE LOCKED#.rtf
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: upeditco@gmail.com
BTC: 1GvGv6XQ6Zq2fXT61Vj1B1XdV5FUdBhtAQ
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 ***
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *