пятница, 23 июня 2017 г.

Kryptonite

Kryptonite Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей возможно с помощью AES/RSA, а затем требует выкуп в $500 BTC, чтобы вернуть файлы. Оригинальное название: Kryptonite. На файле написано: snake-game.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.



Образец этого крипто-вымогателя был найден в конце июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Ransom Note.txt
Обнаружено три разных варианта записки, различие в некоторых деталях. 

Содержание записки о выкупе:
1)
Kryptonite RANSOMWARE
All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public - key stored on your PC.
There is only one way to restore your files : Contact with us, Pay 500$ and get your files back.
To Do that you must have a connection to the internet and disable your firewall.
Run getMyId.exe to get your ID, then go to xxxx://adsgoogle.eastus2.cloudapp.azure.com:27030/
This is a secured web-site for monetary transactions.
After a successful transaction, disable your Anti-Virus and Firewall and run decryptMyFiles.exe as administrator.
2)
Kryptonite RANSOMWARE
All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public - key stored on your PC.
There is only one way to restore your files : Contact with us, Pay 500$ and get your files back.
To pay us go to http://adsgoogle.eastus2.cloudapp.azure.com:27030/
This is a secured web-site for monetary transactions.
In order to make the transactions you will need the below ID.
After a successful transaction, disable your Anti-Virus and Firewall and run decryptMyFiles.exe as administrator.
You can download the Decryptor from xxxxs://s3.amazonaws.com/adsgoogle/Decrypt/decryptor.exe
Your ID: ***
3)
Kryptonite RANSOMWARE
All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public - key stored on your PC.
There is only one way to restore your files : Contact with us, Pay 500$ and get your files back.
To pay us go to http://adsgoogle.eastus2.cloudapp.azure.com:27030/
This is a secured web-site for monetary transactions.
In order to make the transactions you will need the below ID.
After a successful transaction, disable your Anti-Virus and Firewall and run decryptMyFiles.exe as administrator.
Your ID:

Перевод записки на русский язык:
1)
Kryptonite RANSOMWARE
Все ваши важные файлы зашифрованы
Ваши файлы были зашифрованы с алгоритмом RSA2048 с уникальным открытым ключом, хранящимся на вашем ПК. Существует только один способ восстановить ваши файлы: Свяжитесь с нами, заплатите 500$ и верните свои файлы.
Для этого вам надо подключиться к Интернету и отключить брандмауэр.
Запустите getMyId.exe чтобы получить свой ID, затем перейдите на xxxx://adsgoogle.eastus2.cloudapp.azure.com:27030/
Это защищенный веб-сайт для денежных операций.
После успешной транзакции отключите Антивирус и брандмауэр и запустите decryptMyFiles.exe как администратор.

Другим информатором жертвы выступает скринлок, встающий обоями рабочего стола.


Содержание текста о выкупе с обоев:
ATTENTION
All your files, images, vidoes and databases have been encrypted with an RSA-2048 private and unique key generated for this computer stored on a secret server.
Original files have been over written, recovery tools will not help. 
Don't worry!! We could help you restore your files but it will cost you 500$
Follow the instructions on 'Ransome Note.txt' file on your desktop.
After payment is confirmed, use the Decryptor program to restore yor files.
If you care about your files, DO NOT TRY TO GET RID OF THIS PROGRAM!!
Any actions to do so will result in decryption key being destroyed, and you will loose your files forever!

Перевод текста с обоев на русский язык:
ВНИМАНИЕ
Все ваши файлы, изображения, видео и базы данных зашифрованы с закрытым и уникальным ключом RSA-2048, созданного для этого компьютера, сохранённого на секретном сервере.
Исходные файлы уже перезаписаны, инструменты восстановления не помогут.
Не волнуйся! Мы можем помочь вам восстановить ваши файлы, но это будет стоить вам 500$
Следуйте инструкциям в файле 'Ransome Note.txt' на рабочем столе.
После подтверждения оплаты используйте программу Decryptor для восстановления ваших файлов.
Если вы заботитесь о своих файлах, НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ!
Любые действия для этого приведут к уничтожению ключа дешифрования, а вы потеряете свои файлы навсегда!

Пока недоработан и находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует игру Snake, чтобы проникнуть на ПК и зашифровать файлы. В эту фейк-игру можно даже играть, а ход шифрования можно видеть в окне командной строки.

Данные для оплаты выкупа предлагается ввести на специальной странице. 
Страница для оплаты выкупа

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
cad.exe - файл вымогателя
snake-game.exe - файл вымогателя
getMyId.exe - файл для получения ID
decryptor.exe - декриптор
decryptMyFiles.exe - декриптор
Ransom Note.txt - записка о выкупе
1.jpeg - изображение на обои

Расположения:
\Desktop\Ransom Note.txt
%APPDATA%\1.jpeg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://adsgoogle.eastus2.cloudapp.azure.com:27030/*** - страница для оплаты выкупа
***xxxxs://s3.amazonaws.com/adsgoogle/Decrypt/decryptor.exe***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

EyLamo

EyLamo Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> EyLamo

К зашифрованным файлам добавляется расширение .lamo

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
This computer has been hacked
Your personal files have been ecrypted. Send me BTC or kebab to get decryption passcode.
After that, you'll be able to see your beloved files again.
With love... EyLamo : ')
Bitcoin: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Перевод записки на русский язык:
Этот компьютер взломан
Ваши личные файлы зашифрованы. Пошлите мне BTC или кебаб, чтобы получить код доступа к расшифровке.
После этого вы сможете снова увидеть свои любимые файлы.
С любовью ... EyLamo : ')
Биткоин: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Другим информатором жертвы выступает изображение, догружаемое онлайн. 


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
EyLamo.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://www.eylamo.ct8.pl/write.php***
xxxx://i.imgur.com/HHK0Htq.png***
xxxx://www.eylamo.ct8.pl/***
151.101.36.193:80
136.243.156.120:80
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 VistaFan12‏
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Reetner

Reetner Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выполнить инструкции, чтобы вернуть файлы. Оригинальное название. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Reetner. Начало.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных и испаноязычных пользователей, что не мешает распространять его по всему миру.

Reetner использует разные exe-файлы для разных задач: один шифрует, другой отображает записку о выкупе.

Записка с требованием выкупа называется note.html

Содержание записки о выкупе:
NO ES TU IDIOMA? UTILIZA https://translate.google.com
Why I can't open my files?
All your important files were protected with a strong military-grade encryption algorithm (AES256 + RSA4096). More info here: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
What can I do?
In the following computers there is a file named C:\note.html with more detailed instructions to recover your files. Contact the administrators at your institution as soon as possible.

Перевод записки на русский язык:
Не ваш язык? Используйте https://translate.google.com
Почему я не могу открыть свои файлы?
Все ваши важные файлы зашифрованы сильным военным алгоритмом шифрования (AES256 + RSA4096). Дополнительная информация здесь: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Что я могу сделать?
На следующих компьютерах есть файл с именем C:\note.html с подробными инструкциями по восстановлению ваших файлов. Свяжитесь с администраторами вашего учреждения как можно скорее.

Скринлок встает обоями рабочего стола с текстом выкупа. 

Содержание текста с изображения:
All your files have been encrypted.
See the file "Unlock_Mu_Files" located on your Desktop for detailed instructions on how to recover your files. 
Consulta el archivo "Unlock_Mu_Files" ubicado en el escritorio para obtener instrucciones detalladas sobre como recuperar tus archivos. 

Перевод текста на русский язык: 
Все ваши файлы зашифрованы.
См. в файле "Unlock_Mu_Files", расположенном на рабочем столе, подробные инструкции по восстановлению файлов.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
note.html
Noter.exe
<ransom_notifer>.exe
<crypter>.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

четверг, 22 июня 2017 г.

QuakeWay

QuakeWay Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .org

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __iWasHere.txt

Содержание записки о выкупе:
===> Your files content changed to unreadable content to you and your PC, For restore operation send an email to quakeway@mail.ru and send your UID came bellow as mail subject you will get back all of your files by instruction as our reply.
===> WARNING !!!Dont be stupid to delete this TXT file(or any change on your locked folder),else YOUR FILES WILL BE CORRUPT AND CANNOT BE RESTORED ANYWAY! EVEN BY INSERT TRUE CODE !
===> ATTENTION !!This is not a Ransomware. We don't need your money Just wanna care you and upgrade your security.
 Your System UID for email it is -->> [redacted]: [redacted] <-- We answer it during 7 days.

Перевод записки на русский язык:
===> Содержимое ваших файлов изменено на нечитаемое содержание для вас и вашего ПК. Для операции восстановления отправьте email на quakeway@mail.ru и укажите свой UID в качестве темы письма, вы получите все свои файлы по инструкции, как наш ответ.
===> ПРЕДУПРЕЖДЕНИЕ !!! Не глупите, не удаляйте этот TXT-файл (или не изменяйте в заблокированной папке), иначе ВАШИ ФАЙЛЫ БУДУТ ИСПОРЧЕНЫ И УЖЕ НЕ СМОГУТ ВОССТАНОВИТЬСЯ! ЕСЛИ ДАЖЕ ВСТАВИТЕ ПРАВИЛЬНЫЙ КОД!
===> ВНИМАНИЕ! Это не Ransomware. Нам не нужны ваши деньги. Просто хочу позаботиться о вас и обновить вашу безопасность.
  Ваш системный UID для email - >> [redacted]: [redacted] <- Мы ответим на него в течение 7 дней.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
__iWasHere.txt
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
quakeway@mail.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as QuakeWay)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

PSCrypt

PSCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2500 гривен в BTC, чтобы вернуть файлы. Оригинальное название: PSCrypt. Идентифицируется сервисом IDR в составе семейства GlobeImposter 2.0. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: GlobeImposter 2.0 > PSCrypt


К зашифрованным файлам добавляется расширение .pscrypt

Активность этого крипто-вымогателя пришлась на вторую половину июня 2017 г. Ориентирован на украинских пользователей, что не мешает распространять его по всему миру. 
Сервис ID Ransomware зафиксировал пострадавших из Украины, России и Нидерландов. 

Записка с требованием выкупа называется: Paxynok.html (от слова "рахунок" - это "счёт" на украинском).

Содержание записки о выкупе:
ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР
13 69 9B 5F 1E ***
ВАШІ ФАЙЛИ ТИМЧАСОВО НЕДОСТУПНІ.
ВСІ ВАШІ ДАНІ БУЛИ ЗАШІВРОВАННИ!
Для відновлення даних потрібно дешифратор.
Щоб отримати дешифратор, ви повинні:
Оплатити послуги розшифровки:
Оплата відбувається за коштами біткойн (BTC):
Вартість послуги складає 2500 гривень
Оплату можна провести в терміналі IBox.
Інструкція по оплаті:
1. Знайти найближчий термінал Айбокс Айбокс
за допомогою рядка пошуку знайти сервіс «Btcu.biz».
2. Ввести свій номер телефону.
3. Внести суму 2500 грн
4. Роздрукувати і зберегти чек.
5. Зайти на сайт btcu.biz.
6. У розділі «Купити» => «За готівку в терміналі» ввести код з чека (підкреслять червоним), ввести капчу, ознайомитися і погодитися з Умовами використання і натиснути кнопку «Оплатити». 
Чек
Переконатися, що код прийнятий і сума збігається з внесеної в термінал.
7. Після того, як код був коректно прийнятий системою, натисніть «Далі» для вибору способу отримання коштів.
Сайт
8. Виберіть розділ «Поповнити ВТС-адреса», введіть адресу - 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY і капчу, натисніть кнопку «Відправити».
Сайт2
9. Після оплати:
Надіслати скріншот платежу на systems64x@tutanota.com
У листі вкажіть свій особистий ідентифікатор (подивіться на початок цього документа).
10. Після отримання дешифратора і інструкцій, зможете продожам роботу.
Додаткова інформація:
Програма можемо дешифрувати один файл як доказ того, що у неї є декодер. Для цього необхідно надіслати зашифрований файл на пошту: systems64x@tutanota.com 
Увага!
Ні оплати = Немає розшифровки
Ви дійсно отримуєте дешифратор після оплати
Не намагайтеся видалити програму або запустити антивірусні інструменти
Спроби самодешіфрованія файлів приведуть до втрати ваших даних
Декодери інших користувачів не сумісні з вашими даними, оскільки унікальний ключ шифрування кожного користувача.
З повагою.

Краткий перевод записки на английский язык (in English):
YOUR PERSONAL IDENTIFIER
13 69 9B 5F 1E ***
YOUR FILES ARE TEMPORARILY UNAVAILABLE.
ALL YOUR DATA HAS BEEN ENCRYPTED!
To recover data you need decryptor.
To get the decryptor you should:
pay for decrypt:
site for buy bitcoin:
https://localbitcoins.com
https://www.coinbase.com
https://xchange.cc
bitcoin adress for pay:
1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY
Contact us by email : systems64x@tutanota.com. In the letter include your personal ID (look at the beginning of this document) 
After answering your inquiry, our operator will give you further instructions, which will be shown what to do next (the answer you get as soon as possible)
In the letter include your personal ID (look at the beginning of this document).
After you will receive a decryptor and instructions
We can decrypt one file in quality the evidence that we have the decoder.
Attention!
No Payment = No decryption
You really get the decryptor after payment
Do not attempt to remove the program or run the anti-virus tools
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key.

Перевод записки на русский язык:
ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР
13 69 9B 5F 1E ***
ВАШИ ФАЙЛЫ ВРЕМЕННО НЕДОСТУПНЫ.
ВСЕ ВАШИ ДАННЫЕ БЫЛИ ЗАШИФРОВАНЫ!
Для восстановления данных нужен дешифратор.
Чтобы получить дешифратор, вы должны:
Оплатить расшифровку:
Оплата делается из средств биткоин (BTC):
Стоимость услуги составляет 2500 гривен
Оплату можно сделать в терминале IBox.
Инструкция по оплате:
1. Найти ближайший терминал Айбокс Айбокс
с помощью строки поиска найти сервис «Btcu.biz».
2. Ввести свой номер телефона.
3. Внести сумму 2500 гривен.
4. Распечатать и сохранить чек.
5. Войти в btcu.biz.
6. В разделе «Купить» => «За наличные в терминале" ввести код с чека (подчеркнут красным), ввести капчу, ознакомиться и согласиться с Условиями использования и нажать кнопку «Оплатить».
чек
Убедиться, что код принят и сумма совпадает с внесенной в терминал.
7. После того, как код был корректно принят системой, нажмите «Далее» для выбора способа получения средств.
Сайт
8. Выберите раздел «Пополнить ВТС-адрес», введите адрес - 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY и капчу, нажмите кнопку «Отправить».
Сайт2
9. После оплаты:
Отправьте скриншот платежа на systems64x@tutanota.com
В письме укажите свой личный идентификатор (смотрите в начале этого документа).
10. После получения дешифратора и инструкций, сможете продолжить работу.
Дополнительная информация:
Программа можем дешифровать один файл как доказательство того, что у нее есть декодер. Для этого необходимо прислать зашифрованный файл на почту: systems64x@tutanota.com 
Внимание!
Нет оплаты = Нет расшифровки
Вы действительно получите дешифратор после оплаты
Не пытайтесь удалить программу или запустить антивирусные инструменты
Попытки самодешифрования файлов приведут к потере ваших данных
Декодеры других пользователей не совместимы с вашими данными, поскольку уникальный ключ шифрования у каждого пользователя.
С уважением.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов командой:
Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Paxynok.html
wmodule.exe
<random>.exe
<random>.tmp

Расположения:
%TEMP%\<random>.tmp
\AppData\Roaming\Microsoft\random\<random>.exe
\User_folders\Paxynok.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: systems64x@tutanota.com
BTC: 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as PSCrypt)
 Write-up, Topic of Support
 Video review
 Thanks: 
 BleepingComputer, Lawrence Abrams
 Michael Gillespie
 Alex Svirid
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!

1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

среда, 21 июня 2017 г.

aZaZeL

aZaZeL Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название написано в записке о выкупе: aZaZeL.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Encrypted

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: File_Encryption_Notice.txt


Содержание записки о выкупе:
***
Your files are encrypted!!! 
***
Your documents,photos, databases & other important files have been encrypted with
strongest encryption & unique key, generated for this computer. 
We offer you to purchase special application for recovery access to your encrypted
files. Getting the decryptor is the only opportunity not to loose your file from pc
forever.
===
Your lock id:
0x[redacted hex][WIN_7]VN:A
===
Without a decryption tool it is imposible to recover your files. So
keep your lock id very safe else you can never recover your files.
It will be better if you note it somewhere outside your pc on the paper.
***
To purchase the decryption tool follow these steps:
***
1.Register a Bitcoin(BTC) wallet at (www.blockchain.info/wallet/new)
 (Properly note your Bitcoin wallet address and Identifier address which you require to login to your BTC wallet)
2.If you dont have Bitcoins, you can buy them at (www.coinmama.com)
Here are the detail steps which will help you to buy buitcoins
===
Step 1: Goto (www.coinmama.com/register) and register your account there using your email id.
Step 2: After you register an account, you need to Signup/Login to your coinmama account.
Step 3: Then Choose the amount of Bitcoin (0.1 BTC) you need to buy.
Step 4: Choose a method of payment. You need to select the one of the available methods of payment
        (Recommended: Western union or Moneygram)
Step 5: Note the details given for money transfer(eg:account holder's name, address,etc)
Step 6: Deposit the given amount of money in Western union or Moneygram near your location to the given details.
Step 7: After you deposit the cash, you will receive a transfer receipt with important information (eg:MTCN number).
Step 8: Only then goto next step (i.e. Complete your order) to assure a successful transfer.
Step 9: Copy the exact information as stated on your transfer receipt in the form.
Step 10: Enter your Bitcoin wallet address properly in the form then update order.
         Your order will be processed once your transfer clears in their account.
         They will update you by email, moments after sending your Bitcoins.
===
Other site to buy Bitcoins (www.localBitcoins.com)
(First time Bitcoin buyers guide available at (https://en.Bitcoin.it/wiki/First-time_buyers_guide)
3.After you buy Bitcoins, transfer Bitcoins to the details given below
Account details:
===
# Amount to transfer: 0.1 BTC(approx.$46 US Dollars)
# Transfer to bitcoin address: 1MaBogxRSscjxsdcsEr6ymtkV9SdGLfuxf
**Check bitcoin address properly before payment**
===
Only after the payment
===
Mail us to receive the decryption tool
Mailing details:
===
# Mail to: azazel-bot@india.com
# Subject: Decryptor Request
# Message: Message us the following details:
          1.Your lock id (see at the top)
          2.Email id: Your email id in which you wish to receive the decryptor.
          3.BTC address: Your bitcoin wallet address from which you have made the payment.
(You can also mail us to get a guide on How to buy Bitcoins)
===
Special Warning!!!
===
Donot try to rename or be oversmart with those encrypted files, else they cant be
decrypted back & you will loose them forever.
#Files EnCrYpTeD by aZaZeL

Перевод записки на русский язык:
Ваши файлы зашифрованы !!!
***
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с самым сильным шифрованием и уникальный ключом, созданным для этого компьютера.
Мы предлагаем вам приобрести специальное приложение для восстановления доступа к зашифрованным файлам. Получение дешифратора - единственная возможность не потерять ваш файл на ПК навсегда.
===
Ваш lock id:
0x [redacted hex] [WIN_7] VN: A
===
Без инструмента дешифрования невозможно восстановить файлы. Потому cохраните ваш lock id, иначе вы никогда не сможете восстановить свои файлы.
Будет лучше, если вы заметите это где-то вне вашего ПК на бумаге.
***
Чтобы приобрести инструмент дешифрования, выполните следующие действия:
***
1. Зарегистрируйте Биткойн-кошелек (BTC) на (www.blockchain.info/wallet/new)
 (Обратите внимание на свой адрес Биткойн-кошелька и ID-адрес, который требуется для входа в ваш кошелек BTC)
2. Если у вас нет биткойнов, вы можете купить их на сайте (www.coinmama.com)
Вот подробные шаги, которые помогут вам купить биткоины
===
Шаг 1: Идите на (www.coinmama.com/register) и зарегистрируйте там свою учетную запись, используя ваш email id.
Шаг 2. После регистрации учетной записи вам надо войти в свою учетную запись на coinmama.
Шаг 3: Затем выбрать количество биткоинов (0.1 BTC), которое вам нужно купить.
Шаг 4. Выбрать способ оплаты. Вам нужно выбрать один из доступных способов оплаты
        (Рекомендуется: Western Union или Moneygram)
Шаг 5: Обратите внимание на данные, указанные для перевода денег (например: имя владельца учетной записи, адрес и т.д.).
Шаг 6: Депозит данной суммы денег в Western Union или Moneygram рядом с вашим местоположением для подробных данных.
Шаг 7: После внесения наличных денег вы получите квитанцию ​​о переводе с важной информацией (например: номер MTCN).
Шаг 8: Только после этого перейдите к следующему шагу (т.е. Complete your order), чтобы обеспечить успешную передачу.
Шаг 9: Скопируйте точную информацию, указанную в вашей передаче, в форме.
Шаг 10: Введите свой биткойн-кошелек правильно в форме, а затем обновите заказ.
         Ваш заказ будет обработан, как только ваш перевод будет очищен на их счете.
         Они будут обновлять вас по email, через несколько минут после отправки ваших биткоинов.
===
Другой сайт для покупки биткоинов (www.localBitcoins.com)
(Впервые руководство для покупателей биткоинов доступно по адресу (https://en.Bitcoin.it/wiki/First-time_buyers_guide)
3. После покупки биткоинов передайте биткоины на приведенные ниже данные
Детали учетной записи:
===
# Сумма перевода: 0,1 BTC (около 46 долларов США)
# Перевод на биткоин-адрес: 1MaBogxRSscjxsdcsEr6ymtkV9SdGLfuxf
** Проверьте биткоина-адрес должным образом перед оплатой **
===
Только после оплаты
===
Отправьте нам запрос на получение средства дешифрования
Детали отправки:
===
# Mail to: azazel-bot@india.com
# Тема: Decryptor Request
# Сообщение: Сообщите нам следующие данные:
          1. Ваш lock id (см. вверху)
          2. Email id: ваш email id, на который вы хотите получить дешифратор.
          3. BTC адрес: Ваш адрес биткойн-кошелека, с которого вы сделали платеж.
(Вы также можете отправить нам письмо, чтобы получить руководство о том, как купить биткойны)
===
Специальное предупреждение !!!
===
Не пытайтесь переименовывать или умничать с этими зашифрованными файлами, иначе их нельзя будет дешифровать назад, и вы потеряете их навсегда.
#Files EnCrYpTeD by aZaZeL

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
File_Encryption_Notice.txt
<random>.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: azazel-bot@india.com
BTC: 1MaBogxRSscjxsdcsEr6ymtkV9SdGLfuxf
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as aZaZeL)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.


ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *