пятница, 19 января 2018 г.

Instalador

Instalador Ransomware

QwertyCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: Instalador. Название проекта: Instalador.pdb. На файле написано: Instalador.exe. Разработчик: Rodolfo / Team Anonymous Brazil.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .qwerty

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на португалооязычных и бразильских пользователей, что не мешает распространять его по всему миру. Вероятно, пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки с заголовком Aguarde..., которому предшествует экран с просьбой подождать. В это время файлы шифруются. 

Содержание записки о выкупе:
ATENÇÃO! Todos os seus arquivos foram seqüestrados!
O que aconteceu com o meu computador?
Seu computador sofreu um seqüestro de dados, os seus arquivos importantes (documentos, planilhas, videos. anotações e etc), estão agora protegido com uma criptografia altamente complexa e segura.
Você não poderá mais acessar os seus arquivos!
Como faço para desbloquear?
Você deverá pagar a quantia de 0.05000000 Bitcoin para o endereço 15tGsTDLMztrxP1kCoKPBTaBgv1xCKRtkY
Depois de pago iremos enviar a sua senha e você poderá desbloquear rapidamente seus arquivos!
Como entrar em contato?
Através do nosso telegram iremos enviar a senha do seu computador!
Telegram: http://t.me/@rodolfoanubis
Muito obrigado aguardamos o contato!

Перевод записки на русский язык:
ВНИМАНИЕ! Все ваши файлы были захвачены!
Что случилось с моим компьютером?
Ваш компьютер взломан, ваши важные файлы (документы, таблицы, видео, заметки и т.д.), теперь защищены очень сложным и безопасным шифрованием.
Вы больше не сможете получить доступ к своим файлам!
Как разблокировать?
Вы должны заплатить сумму в 0.05000000 биткоина на адресу 15tGsTDLMztrxP1kCoKPBTaBgv1xCKRtkY
После оплаты мы пришлём ваш пароль, и вы сможете быстро разблокировать свои файлы!
Как связаться?
Через наш Telegram мы отправим пароль вашего компьютера!
Telegram: http://t.me/@rodolfoanubis
Большое спасибо за контакт!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Instalador.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: http://t.me/@rodolfoanubis
BTC: 15tGsTDLMztrxP1kCoKPBTaBgv1xCKRtkY
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as QwertyCrypt)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Leo, GrujaRS
 GrujaRS
 Michael Gillespie
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 18 января 2018 г.

InsaneCrypt

InsaneCrypt Ransomware

desuCrypt, DeusCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью RC4 + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. Название проекта: desuCrypt.pdb. Среда разработки: Visual Studio 2008.

© Генеалогия: desuCrypt (пробная версия) > InsaneCrypt

К зашифрованным файлам добавляется расширение .insane
Фактически используется составное расширение .[insane@airmail.cc].insane

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How_decrypt_files.txt

Содержание записки о выкупе:
Hello!
If you want restore your files write on email - insane@airmail.cc

Перевод записки на русский язык:
Привет!
Если хотите вернуть свои файлы, пишите на email - insane@airmail.cc



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Используется встроенный открытый ключ RSA-2048 для шифрования ключа для каждого файла.

Выполняет деструктивные команды:
cmd.exe / c vssadmin delete shadows / all / quiet & wmic shadowcopy delete & bcdedit / set{ default } bootstatuspolicy ignoreallfailures & bcdedit / set{ default } recoveryenabled no & wbadmin delete catalog - quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_decrypt_files.txt
desuCrypt.exe

Расположения:
%APPDATA%\How_decrypt_files.txt
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: insane@airmail.cc
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ на вариант DeusCrypt >>
VirusTotal анализ на вариант InsaneCrypt >>
Intezer анализ на вариант InsaneCrypt >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Предыстория:
В декабре 2017 года был ранний проект desuCrypt.
Оригинальное название: desuCrypt или DeusCrypt:
Расширение: .DEUSCRYPT
Составное расширение: .[rememberggg@tutanota.com].DEUSCRYPT
Email: rememberggg@tutanota.com
Записка: note.txt
Содержание записки: 
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail rememberggg@tutanota.com.You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
2b1be0***
Результаты анализов: HA + VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать InsaneCryptDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as InsaneCrypt)
 Write-up, Topic of Support
  🎥 Video review + Tweet
 This video review provided by CyberSecurity GrujaRS
Added later: 
Write-up (added on January 22, 2018)
Topic of Support
 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov
 GrujaRS
 Lawrence Abrams
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

вторник, 16 января 2018 г.

KillBot_Virus

KillBot_Virus Ransomware
KillBot.Prime Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: KillBot Virus с вариациями. На exe-файле в данный момент написано: KILLBOT.PRIME.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: KillBot_Virus > KillBot.Prime

К незашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на середину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Пока имеет недоработанный функционал и ничего не шифрует, только пугает.  

Запиской с требованием выкупа выступает следующий скриншот, вероятно, экран блокировки или его часть.

Содержание записки о выкупе:
Oops your important data was encrypted with an AES encryption algorithm!!
<Killbot Virus>
If you see this banner then all of your important files have been encrypted and the executable format files were infected
What is this?
Killbot is a virus that encrypts files and data and infects them
As you became it's victim please make sure to read all the info below.
WARNING!: THIS IS NOT SOME JOKES EVERYTHING IS REAL!
ALSO DO NOT TRY TO CLOSE OR EVEN DELETE THE SOFTWARE IF YOU DO YOUR PC WILL BE DESTROYED!
Your files cannot be restored, however there are some steps to follow if you donft want it on your computer.
Step 1: Please get a windows reinstallation CD and reinstall windows on your computer.
Step 2: Get a powerful antivirus software and update it to the latest version.
Please do everything as it was written if you want to get your PC back
</Killbot Virus>

Перевод записки на русский язык:
Увы, ваши важные данные зашифрованы с алгоритмом шифрования AES!
<Killbot Virus>
Если вы видите этот баннер, то все ваши важные файлы зашифрованы, а исполняемые файлы заражены
Что это?
Killbot - это вирус, который шифрует файлы и данные и заражает их
Раз вы стали жертвой, обязательно прочитайте всю информацию ниже.
ПРЕДУПРЕЖДЕНИЕ!: ЭТО НЕ ШУТКА, ВСЕ РЕАЛЬНО!
ТАКЖЕ НЕ ПЫТАЙТЕСЬ ЗАКРЫТЬ ИЛИ ЖЕ УДАЛИТЬ ПРОГРАММУ, ЕСЛИ ВЫ ЭТО СДЕЛАЕТЕ, ТО ВАШ ПК ПОСТРАДАЕТ!
Ваши файлы не могут быть восстановлены, но можно предпринять некоторые шаги, если вы не хотите этого на своем компьютере.
Шаг 1. Загрузите CD с Windows и переустановите Windows на своем компьютере.
Шаг 2. Получите мощную антивирусную программу и обновите её до последней версии.
Пожалуйста, сделайте все, как было написано, если вы хотите вернуть свой компьютер
</Killbot Virus>



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KILLBOT.PRIME.exe
<image>

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 15 января 2018 г.

BigEyes

BigEyes Ransomware

LimeDecryptor Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: Hsociety и BigEyes. На файле проекта написано: BigEyes.pdb.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Lime

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком #Lime Decryptor:


Информатором жертвы также выступает изображение, встающее обои Рабочего стола.  

Содержание записки о выкупе:
All your files have been encrypted
But You can still recover your files
Just send us 100$ Bitcoin, And we will give you your files back
After you pay us, send us email r3vo@protonmail.com
include your transaction number
This is Ransomware, It's not a joke
Thanks
Bye

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Но вы можете вернуть свои файлы
Просто отправьте нам 100$ в биткоинах, и мы вернем вам ваши файлы
После того, как вы заплатите нам, пришлите нам email на r3vo@protonmail.com
укажите номер транзакции
Это Ransomware, это не шутка
Спасибо
Пока



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Crypt.exe
#BackGround.png
#Decryptor.exe
BigEyes.exe
\hash\ - скрытая папка с AES-ключом

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Microsoft\hash
\Desktop\#BackGround.png
\Desktop\#Decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: r3vo@protonmail.com
BTC: 1PNh6dmaUtv96C7ezTdUqVvfWBUYuCBbUM
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на Crypt.exe >>
VirusTotal анализ на BigEyes.exe >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo, SDK
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Velso

Velso Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .velso

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: get_my_files.txt

Содержание записки о выкупе:
Hello. If you want to return files, write me to e-mail MerlinVelso@protonmail.com
Your userkey: [redacted base64]

Перевод записки на русский язык:
Привет. Если хотите вернуть файлы, пишите мне на email MerlinVelso@protonmail.com
Ваш ключ: [redacted base64]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
get_my_files.txt
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: MerlinVelso@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Velso)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KillDisk-Dimens

KillDisk-Dimens Ransomware

(фейк-шифровальщик, деструктор)


Этот крипто-вымогатель не шифрует данные на дисках пользователей и даже пока не требует выкуп, чтобы вернуть файлы. Файлы перезаписываются нулями и удаляются. Оригинальное название: не указано. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: KillDisk >> KillDisk-Dimens

К фейк-зашифрованным файлам никакое расширение не добавляется. Файлы затираются нулевыми байтами. 

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на финансовые организации латиноамериканских стран, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: отсутствует.
Также не выдвигается никаких требований о выкупе. Возможно, требования будут выдвинуты позже, когда причинённый ущерб станет масштабнее. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

По мнению исследователей из TrendMicro, вредонос KillDisk-Dimens, попав на компьютер, загрузится в память, удалит файлы с диска и переименует себя. Затем он перезапишет первые 20 секторов MBR каждого запоминающего устройства с 0x00 байтами.

После этого он перепишет первые 2800 байт каждого файла с теми же 0x00 байтами на каждом фиксированном и съемном накопителе. Единственными оставленными файлами являются файлы и папки, найденные в следующих каталогах Windows:
WINNT
Users
Windows
Program Files
Program Files (x86)
ProgramData
Recovery (case-sensitive check)
$Recycle.Bin
System Volume Information
old
PerfLogs




Таким образом содержимое файлов сначала перезаписывается нулевыми байтами, фактически — затирается, а потом файлы удаляются. 

Потом KillDisk запускает таймер на 15 минут, а затем завершает следующие процессы: 
Client/server run-time subsystem (csrss.exe)
Windows Start-Up Application (wininit.exe)
Windows Logon Application (winlogon.exe)
Local Security Authority Subsystem Service (lsass.exe)


Т.к. это критические процессы ОС, то компьютер либо войдет в BSOD, либо будет принудительно перезагружен без опции пользователя.


Специалисты TrendMicro нарисовали схему работы этой версии вредоноса.


Список файловых расширений, подвергающихся шифрованию:
файлы не шифруются, а перезаписываются нулями и потом удаляются.

Файлы, связанные с этим Ransomware:
dimens.exe
<random>.exe

Расположения:
C:\Windows\dimens.exe
C:\Windows\0123456789
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 TrendMicro
 Catalin Cimpanu
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 13 января 2018 г.

MoneroPay

MoneroPay Ransomware
SpriteCoin Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 monero, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Your files are encrypted
If you close this window, you can always restart and it should appear again.
All your files have been encrypted by us. This means you will be unable to access or use them. In order to retrieve them, you must send 0.3 monero (about $120 USD) to:
46FXmRvyffu59N***
Make sure you include your payment ID:
Use CTRL +C to copy both
IF YOU DO NOT INCLUDE YOUR PAYMENT ID, YOUR FILES CANNOT BE DECRYPTED. Do not waste your time — only we can decrypt your files.
If you have paid, click on the DECRYPT button to return your files to normal. Don't worry, we'll give you your files back if you pay.
[DECRYPT]
FAQ
• What is monero?
   Monero is a cryptocurrency, like bitcoin.
• How do I get monero?
   You can buy monero in many of the same places you can get bitcoin. [More info]
• What happens if I don't pay?
***

Перевод текста на русский язык:
Ваши файлы зашифрованы
Если вы закроете это окно, то всегда сможете перезапустить его, и он должен появиться снова.
Все ваши файлы были зашифрованы нами. Это значит, что вы не сможете получить к ним доступ или использовать их. Чтобы получить их, вы должны отправить 0.3 monero (около 120$ США) на:
46FXmRvyffu59N ***
Убедитесь, что вы указали свой идентификатор платежа:
Используйте CTRL + C, чтобы скопировать оба
ЕСЛИ ВЫ НЕ ВКЛЮЧИТЕ ВАШ PAYMENT ID, ВАШИ ФАЙЛЫ НЕ БУДУТ ДЕШИФРОВАНЫ. Не тратьте свое время - только мы можем расшифровать ваши файлы.
Если вы заплатили, нажмите кнопку DECRYPT, чтобы вернуть файлы в нормальное состояние. Не беспокойтесь, мы вернем вам ваши файлы, если вы заплатите.
[DECRYPT]
Вопросы-Ответы
• Что такое monero?
    Monero - это криптовалюта, как биткоин.
• Как получить monero?
    Вы можете купить monero во многих местах, где можете получить биткоин. [Больше информации]
• Что будет, если я не заплачу?
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Распространяется в составе дистрибутива для генерации вымышленной крипто-монеты SpriteCoin. Под видом его установки запускается шифровальщик. 
   

 Скриншоты "установщика"

Сообщения о фальшивой криптовалюте


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
spritecoind.exe
spritecoinwallet.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton