пятница, 20 октября 2017 г.

Ordinal

Ordinal Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: Ordinal. На файле написано: Main.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Ordinal

К зашифрованным файлам добавляется расширение .Ordinal

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока явно недоработан. 

Записка с требованием выкупа называется: READ Me To Get Your Files Back.txt.Ordinal

Содержание записки о выкупе:
ORDINAL RANSOMWARE
Follow the instructions to unlock your data
YOU FILES ARE ENCRYPTED
All your files have been encrypted with AES-256 Military Grade Encryption
INSTRUCTIONS
Your files have been encrypted, the only way to recover your files is to pay the fee. Once you have paid the fee all your files will be decrypted and return to normal.
Send the required fee (found below) to the Bitcoin address (found below). Once you have sent the required fee to the Bitcoin address send an email with your Identification key (without this we cant help you). It may take 12-24 hours for us to respond. You will recive a Decryption Program + Decryption Key.
-
WHAT NOT TO DO
DO NOT RESTART/TURN OFF YOUR COMPUTER
DO NOT ATTEMPT TO RECOVER THE FILES YOUR SELF
DO NOT CLOSE THIS PROGRAM
-
DECRYPTION KEY WILL BE DELETED FROM OUR SERVERS IN 7 DAYS FROM TODAY
-
Bitcoin Address: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
Identification: VU0PGNJ2
Amount To Send: 1.00 BTC
Contact: TEST@protonmail.com
Click on Address and ID to copy

Перевод записки на русский язык:
ORDINAL RANSOMWARE
Следуйте инструкциям, чтобы разблокировать данные
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Все ваши файлы были зашифрованы с шифрованием военного класса AES-256
ИНСТРУКЦИИ
Ваши файлы были зашифрованы, единственный способ восстановить ваши файлы - заплатить выкуп. После того, как вы заплатите, все ваши файлы будут расшифрованы и вернутся в нормальное состояние.
Отправьте требуемую плату (см. Ниже) на Bitcoin-адрес (см. Ниже). После того, как вы отправили требуемую плату на Bitcoin-адрес, отправьте email с вашим идентификационным ключом (без этого мы не сможем вам помочь). Для нас может потребоваться 12-24 часа. Вы получите программу расшифровки + ключ дешифрования.
-
ЧЕГО НЕ ДЕЛАТЬ
НЕ ПЕРЕЗАГРУЖАЙТЕ / НЕ ВЫКЛЮЧИТЕ КОМПЬЮТЕР
НЕ ПОПЫТАЙТЕСЬ САМИ ВОССТАНОВИТЬ ФАЙЛЫ 
НЕ ЗАКРЫВАЙТЕ ЭТУ ПРОГРАММУ
-
КЛЮЧ ДЕШИФРОВАНИЯ БУДЕТ УДАЛЕН С НАШИХ СЕРВЕРОВ ЧЕРЕЗ 7 ДНЕЙ ОТ СЕГО ДНЯ
-
Биткоин-адрес: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
Идентификация: VU0PGNJ2
Сумма для отправки: 1.00 BTC
Контактное лицо: TEST@protonmail.com
Нажмите Адрес и ID, чтобы скопировать

Также устанавливает своеобразные обои на Рабочий стол, но без текста о выкупе. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Main.exe
READ Me To Get Your Files Back.txt.Ordinal

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: TEST@protonmail.com
BTC: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
xxxxs://imgur.com/Byn2W5h - использует для загрузки обоев
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LordOfShadow

LordOfShadow Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> LordOfShadow

К зашифрованным файлам добавляется расширение .lordofshadow 

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на португалоязычных и бразильских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: LEIA_ME.txt

Содержание записки о выкупе:
Seus arquivos foram Sequestrados!
Entre em contato para recuperar seus arquivos
lordashadow@gmail.com

Перевод записки на русский язык:
Ваши файлы были захвачены!
Свяжитесь с нами, чтобы вернуть файлы
lordashadow@gmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LEIA_ME.txt
hidden-tear.exe
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: lordashadow@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 17 октября 2017 г.

LockeR

LockeR Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $10000 в BTC (на момент публикации статьи это было ~1.789), чтобы вернуть файлы. Оригинальное название: LockeR. Указано на Tor-сайте. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на середину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: [How_To_Decrypt_Files].txt

Содержание записки о выкупе:
What happened to my files ?
All of your important files were encrypted using a combination of RSA-2048 and AES-256.
What does this mean ?
This means that your files were modified in a way that makes working with them impossible, unless you have the keys to decrypt them.
Is it possible to recover my files ?
Yes, it possible to get your files back, you'll need a special program (decryptor) and the private key of the key pair used to encrypt them.
How can I get the decryptor and the private key ?
You can buy both of them in any of the links below. Just visit one of them and follow the instructions.
xxxx://lockerrwhuaf2jjx.onion.link/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.gq/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.to/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.top/1820-LOANER_4F2***
If you cannot access the site from any of the addresses above, you can follow the instructions below to access the site using the Tor Browser.
Download the Tor Browser Bundle here: xxxxs://www.torproject.org.
Execute the file you downloaded to extract the Tor Browser into a folder on your computer.
Then simply open the folder and click on "Start Tor Browser".
Copy and paste the onion address into the address bar: xxxx://lockerrwhuaf2jjx.onion/1820-LOANER_4F2***

Перевод записки на русский язык:
Что случилось с моими файлами?
Все ваши важные файлы были зашифрованы, используя комбинацию RSA-2048 и AES-256.
Что это значит ?
Это значит, что ваши файлы были изменены таким образом, что сделало невозможным работу с ними, если у вас нет ключей для их расшифровки.
Возможно ли восстановить мои файлы?
Да, возможно вернуть ваши файлы, вам понадобится специальная программа (декриптор) и закрытый ключ пары ключей, используемых для их шифрования.
Как я могу получить декриптор и закрытый ключ?
Вы можете купить их оба по любой из приведенных ниже ссылок. Просто посетите одну из них и следуйте инструкциям.
xxxx://lockerrwhuaf2jjx.onion.link/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.gq/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.to/1820-LOANER_4F2***
xxxxs://lockerrwhuaf2jjx.onion.top/1820-LOANER_4F2***
Если вы не можете получить доступ к сайту с любого из указанных выше адресов, вы можете выполнить приведённые ниже инструкции для доступа к сайту с помощью Tor-браузера.
Загрузите установщик Tor-браузера здесь: xxxxs://www.torproject.org.
Запустите загруженный файл, чтобы извлечь Tor-браузер в папку на вашем компьютере.
Затем просто откройте папку и нажмите "Start Tor Browser".
Скопируйте и вставьте onion-адрес в адресную строку: xxxx://lockerrwhuaf2jjx.onion/1820-LOANER_4F2***


Вход на Tor-сайт вымогателей, без ввода ID

 1-я (Home) и 2-я (Help) страницы

Содержание текста на страницах:
LockeR
Infection ID
If you have a KEY file, you can upload it using the form below. You can learn more about the machine synchronization in the "Help" page.
---
What is the KEY file ?
It is a storage for the information regarding the infection of your computer, it contains the private key of the key pair used to encrypt your files, along with information to identify your computer.
I don't have a KEY file, how can I synchronize my computer ?
If you don't have a KEY file, your machine is already synchronized, you just need to follow any of the links in the HTML note.
How long does it take for my payment to be confirmed ?
It depends on how much you paid for the transaction fee and how much the network is congested. You can check the average confirmation time clicking here.
I paid a lower value and/or to a different address. What should I do ?
In your personal page, click the "Support" option and open a new ticket. You must say in the message which address you paid to and how many bitcoins you sent.

Перевод текста на страницах:
LockeR
Infection ID
Если у вас есть файл KEY, вы можете загрузить его, используя форму ниже. Подробнее о синхронизации машины вы можете узнать на странице "Help" (Помощь).
---
Что такое файл KEY?
Это хранилище информации о заражении вашего компьютера, оно содержит закрытый ключ от пары ключей, используемых для шифрования ваших файлов, а также информацию для идентификации вашего компьютера.
У меня нет файла KEY, как я могу синхронизировать мой компьютер?
Если у вас нет файла KEY, ваш компьютер уже синхронизирован, вам просто нужно следовать любой из ссылок в HTML-заметке.
Сколько времени нужно на подтверждение моего платежа?
Это зависит от того, сколько вы заплатили на комиссию за транзакцию и насколько перегружена сеть. Вы можете проверить среднее время подтверждения, нажав здесь.
Я заплатил меньше и/или на другой адрес. Что делать?
На своей личной странице нажмите кнопку "Support" (Поддержка) и откройте новый тикет. Вы должны указать в сообщении, на какой адрес вы перевели, и сколько биткоинов отправили.


Tor-сайт вымогателей после ввода ID
 1-я и 2-я страницы
  3-я и 4-я страницы

Содержание текста на 1-й странице:
LockeR
Your files have been encrypted, to recover them you need the private key of the key pair used to encrypt them and the decryptor. You can buy both of them for $10000.00. However, if the payment is not made until 2017-10-22 14:05 UTC, the price for the decryptor and private key will increase to $20000.00.
04 days 22 hours 00 minutes 06 seconds
    1. Register a bitcoin wallet.
    Easiest online wallet or other wallets.
    2. Purchase the required amount of bitcoins.
    There are several ways you can buy bitcoins, you can use bitcoin exchanges, buy directly from people selling near you or using a bitcoin ATM.
    3. Send exactly 1.78910400 BTC ($10000.00) to the address:
    16CAsgKi6BHr2X6GRoGERsvCRmYY8ssmr5 
    The confirmation may take several minutes, please be patient.
    Status: Awaiting payment...
    Expires in: 54:02
    1 BTC ≈ 5587.71 USD
The private key is stored in our server for two months.
---

Перевод текста на страницах:
LockeR
Ваши файлы были зашифрованы, чтобы восстановить их, вам нужен секретный ключ от пары ключей, используемых для их шифрования и дешифратор. Вы можете купить оба из них за $10000,00. Однако, если платеж не будет произведен до 2017-10-22 14:05 UTC, цена на дешифратор и закрытый ключ увеличится до $20000,00.
04 дня 22 часа 00 минут 06 секунд
     1. Зарегистрируйте биткойн-кошелек.
     Самый простой онлайн-кошелек или другие кошельки.
     2. Приобретите необходимое количество биткойнов.
     Есть несколько способов купить биткойны, вы можете использовать обмен биткоинами, купить напрямую у людей, продающих рядом с вами, или с помощью банкомата биткоинов.
     3. Отправьте ровно 1,78910400 BTC (10000,00 долларов США) по адресу:
     16CAsgKi6BHr2X6GRoGERsvCRmYY8ssmr5
     Подтверждение может занять несколько минут, пожалуйста, проявите терпение.
     Статус: Ожидает оплаты ...
     Истекает в: 54:02
     1 BTC ≈ 5587.71 USD
Закрытый ключ хранится на нашем сервере два месяца.
---


Другие Tor-сайты после ввода ID

 На этих сайтах указан другой BTC-кошелек



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
[How_To_Decrypt_Files].txt
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://lockerrwhuaf2jjx.onion.link/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxxs://lockerrwhuaf2jjx.onion.gq/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxxs://lockerrwhuaf2jjx.onion.to/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxxs://lockerrwhuaf2jjx.onion.top/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxx://lockerrwhuaf2jjx.onion/1820-LOANER_4F28C903F6E96F5D6522DF69/
xxxx://wsg3wd4fepljpvwu.onion***
xxxx://xk5perkqaaaoux2v.onion***

BTC-1: 16CAsgKi6BHr2X6GRoGERsvCRmYY8ssmr5
BTC-2: 19zhdzGyptWpts9fPeuMcvzcmXioAopiG1
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
*

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Catalin Cimpanu 
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

The Magic

The Magic Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100 евро в BTC, чтобы вернуть файлы. Оригинальное название: THE MAGIC. На файле написано: fattura.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> The Magic

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на середину октября 2017 г. Ориентирован на итальяноязычных пользователей, что не мешает распространять его по всему миру. Видимо, пока находится в разработке. 

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
This computer has been hacked
I tuoi dati personali sono stati cifrati.Saranno irrecuperabili
fino al pagair.ento del riscatto... inutile che tu perda teir. po a
cercare a decriptare i file.. Solo io posso farlo ora segui
questi passaggi per riaverli indietro 
1 Vai sul sito https://localbitcoins.com/ 
2 cerca un venditore di bitcoin 
paga ali indirizzo 1KFgiGhrGMzF2Tqxgvi8UvmNa2GixXRKX8
la cifra di euro 100 se non sai cosa sono i bitcoin leggi qua
xxxxs://www.focusjunior.it/tecnologia/bitcoin-cosa-sono-e-come-funzionano
 o guarda questo xxxxs://www.youtube.com/watch?v=g72aeVoOGLg 
Appena effettui il pagaimento riceverai la chiave per decifrare i dati e portai riavere i dati... 
tutti i dati si distruggeranno per sempre entro 48 ore
Buona fortuna 
THE MAGIC :')

Перевод записки на русский язык:
Этот компьютер взломан
Ваши личные данные были зашифрованы. Они будут непоправимыми
до оплаты выкупа ... бесполезно, что вы теряете деньги. посредством
попробуйте расшифровать файлы. Только я могу это сделать сейчас.
Эти шаги, чтобы вернуть их назад. 
1. Перейти на сайт https://localbitcoins.com/ 
2. Найти продавца биткоинов 
3. Заплатить на адрес 1KFgiGhrGMzF2Tqxgvi8UvmNa2GixXRKX8
сумму в 100 евро
Если вы не знаете, что такое биткоин xxxxs://www.focusjunior.it/tecnologia/bitcoin-cosa-sono-e-come-funzionano или смотреть на это
xxxs://www.youtube.com/watch?v=g72aeVoOGLg 
Как только вы сделаете платеж, вы получите ключ для дешифрования данных и вернете данные ...
Все данные будут уничтожены навсегда через 48 часов
Удачи 
THE MAGIC :')

На обои рабочего стола ставится следующее изображение. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
 READ_IT.txt
fattura.exe
hidden-tear.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1KFgiGhrGMzF2Tqxgvi8UvmNa2GixXRKX8
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 16 октября 2017 г.

Tyrant

Tyrant Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $15, чтобы вернуть файлы. Оригинальное название: Tyrant и Crypto Tyrant. На файле написано: DUMB.exe. На уплату выкупа даётся 24 часа. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: DUMB > Tyrant

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на середину октября 2017 г. Текст на персидском языке. Вероятно ориентирован на иранских пользователей, потому имеет узконаправленное распространение. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
С распознаванием арабского текста есть трудности. 
Проще было бы иметь текстовую записку о выкупе. 

Перевод записки на русский язык:
Ваши файлы зашифрованы. У вас есть 24 часа на уплату выкупа в $15 долларов. Дальнейшая сумма выкупа будет зависеть от срока, прошедшего после 24 часов... 
Дешифровщик файлов будет отправлен вам после получения оплаты. Если у вас возникнут вопросы, то свяжитесь с нами по email, мы ответим вам... 
Хвала Аллаху и в будущей жизни!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DUMB.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===



 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Callisto x
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 15 октября 2017 г.

ViiperWare

ViiperWare Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 20 евро, чтобы вернуть файлы. Оригинальное название: ViiperWare. На файле написано: ViiperWare - Ransomware.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> ViiperWare

К зашифрованным файлам добавляется расширение .viiper

Активность этого крипто-вымогателя пришлась на середину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
1.) What happened to my Files?
a. Your Files has been encrypted, what means you're not able to use them anymore until you decrypt them.
2.) Can I recover my Files?
b. Yes of course you can recover them. It's pretty easy to do that but of course it's not free. Just Pay the Price wich is shown below and you will recive your Decryption Key after we recieved the Payment!
3.) How I got infected with this?
c. Probably you tried to Download something Illegal from the Internet or you got scammed by someone. You should ...

Перевод записки на русский язык:
1.) Что случилось с моими файлами?
а. Ваши файлы были зашифрованы, это значит, что вы больше не сможете их использовать, пока не расшифруете их.
2.) Могу ли я восстановить свои файлы?
б. Да, конечно, вы можете их восстановить. Это довольно легко сделать, но, конечно, это не бесплатно. Просто заплатите цену, как показано ниже, и вы получите свой ключ дешифрования после того, как мы получим оплату!
3.) Как я заразился этим?
с. Вероятно, вы пытались загрузить что-то Незаконное из Интернета или кого-то обманули. Вам следует ...



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифрует только файлы в папке \Desktop\Test. Это в первую очередь файлы с расширениями .doc, .jpg, .png.

Список файловых расширений, подвергающихся шифрованию:
После релиза это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ViiperWare - Ransomware.exe

Расположения:
\Desktop\Test
\Temp\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: не определена.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===



 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *