Шифровальщики-вымогатели

Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их дешифрование.
ID-Ransomware.RU — дайджест с оперативной информацией и основными сведениями о таких шифровальщиках.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

вторник, 22 мая 2018 г.

JosepCrypt

JosepCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: drweb32.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .josep

Активность этого крипто-вымогателя пришлась на конец апреля - вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RECOVERY.txt

Содержание записки о выкупе:
A l l y o u r f i l e s a r e e n c r y p t e d . I f y o u w a n t t o r e c o v e r t h e y , w r i t e m e t o j o s e p n i v e r i t o @ a o l . c o m Y o u h a v e a 5 d a y s Y O U R K E Y : *****

Перевод записки на русский язык:
Все ваши файлы зашифрованы. Если вы хотите восстановить их, напишите мне на josepniverito@aol.com, у вас есть 5 дней ВАШ КЛЮЧ: *****

Технические детали

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as JosepCrypt)
 Write-up, Topic of Support
 *

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *

понедельник, 21 мая 2018 г.

PGPSnippet

PGPSnippet Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью PGP, а затем требует выкуп в 500$ в BTC, чтобы вернуть файлы. Оригинальное название: PGPSnippet. На файле написано: PGPSnippet.exe.

© Генеалогия: PGP >> PGPSnippet

К зашифрованным файлам добавляется расширение .decodeme666@tutanota_com

Активность этого крипто-вымогателя пришлась середину и на вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!README_DECRYPT!!!.txt

Содержание записки о выкупе:
ATTENTION !
All your documents and other files ENCRYPTED !!!
TO RESTORE YOUR FILES YOU MUST TO PAY: 500$ by Bitcoin to this address: 1Nvhebx6EHmFmXokSbXMxbCNGN2fwtgq8W
You can open an wallet here:
https://electrum.org/#download
https://blockchain.info
https://localbitcoins.com/
https://paxful.com/en
https://www.bestchanee.com/
Send the file on the way "WIN + R >> %APPDATA%" file name hosts.txt to our e-mail after paymentat this email address: decodeme666@tutanota.com
We will confirm payment and send to you decrypt key + instruction
Remember: you have a 72 hours and if you not paid, that price will up
ATTENTION : all your attempts to decrypt your PC without our software and key can lead to irreversible destruction
of your files !

Перевод записки на русский язык:
ВНИМАНИЕ !
Все ваши документы и другие файлы ЗАШИФРОВАНЫ !!!
ЧТОБЫ ВЕРНУТЬ ВАШИ ФАЙЛЫ, ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ: 500$ в биткоинах на этот адрес: 1Nvhebx6EHmFmXokSbXMxbCNGN2fwtgq8W
Вы можете открыть кошелек здесь:
https://electrum.org/#download
https://blockchain.info
https://localbitcoins.com/
https://paxful.com/en
https://www.bestchanee.com/
Отправьте файл из пути «WIN + R >> % APPDATA%» имя файла hosts.txt на нашу почту после оплаты на этот email-адрес: decodeme666@tutanota.com
Мы подтвердим оплату и отправим вам ключ дешифрования + инструкцию
Помните: у вас есть 72 часа, и если вы не заплатили, эта цена повысится
ВНИМАНИЕ: все ваши попытки расшифровать ваш компьютер без нашей программы и ключа могут привести к необратимому повреждению
ваших файлов !

Технические детали

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as PGPSnippet)
 Write-up, Topic of Support
 *

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *

Eternal

Eternal Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 500 $, чтобы вернуть файлы. Оригинальное название: E T E R N A L _ R A N S O M W A R E. На файле написано: нет данных.

© Генеалогия: выясняется.

Фактически файлы не шифруются. К фейк-зашифрованным файлам добавляется расширение .eternal

Образец этого вымогателя был найден во второй половине мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, видимо, находится в разработке.

Записки с требованием выкупа называются:
_YOUR_FILES_GOT_ENCRYPTED_.txt
_YOUR_FILES_GOT_ENCRYPTED.vbs

Содержание записки о выкупе:
Hello,
Your files got encrypted by the
E T E R N A L _ R A N S O M W A R E
There's no escape until you pay me
Follow the instructions on the decryptor
Good Luck.

Перевод записки на русский язык:
Привет,
Твои файлы были зашифрованы
E T E R N A L _ R A N S O M W A R E
Нет спасения, пока ты не заплатишь мне
Следуйте инструкциям на расшифровке
Удачи.

Содержание VBS-файла:
Dim message, sapi
message="attention. attention. attention. Your files, documents and photos got encrypted. They we're encrypted with RSA-4096, AES256 and a millitary code. You can't decrypt them unless you pay me 500 dollars. Run the eternal decryptor and follow the instructions. Good luck."
Set sapi=CreateObject("sapi.spvoice")
sapi.Speak message

Перевод содержания VBS-файла на русский язык:
внимание. внимание. внимание. Твои файлы, документы и фотографии зашифрованы. Они зашифрованы с помощью RSA-4096, AES256 и военного кода. Ты не сможешь расшифровать их, если не заплатишь мне 500 долларов. Запусти eternal decryptor и следуй инструкциям. Удачи.

Другим информатором жертвы выступает изображение, встающее обоями рабочего стола.

Содержание текста о выкупе:
ATTENTION,
YOUR FILES, DOCUMENTS AND PHOTOS GOT ENCRYPTED, THEY WERE ENCRYPTED WITH: RSA-4096, AES256 AND A MILLITARY CODE.
YOU CAN'T DECRYPT THEM UNLESS YOU PAY ME 500$
RUN THE ETERNAL DECRYPTOR FOR MORE INSTRUCTIONS
GOOD LUCK.

Перевод текста на русский язык:
Внимание,
Ваши файлы, документы и фотографии были зашифрованы, они были зашифрованы с помощью: RSA-4096, AES256 и военного кода.
Вы не можете расшифровать их, если вы не платите мне 500$
Запустите вечный дешифратор для получения дополнительных инструкций

Удачи.

Технические детали

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Eternal)
 Write-up, Topic of Support
 *

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *

четверг, 17 мая 2018 г.

Sigrun

Sigrun Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .sigrun

Активность этого крипто-вымогателя пришлась на середину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
RESTORE-SIGRUN.txt
RESTORE-SIGRUN.html

Тексты в видимой части аналогичны. Но есть еще скрытый текст. Об этом ниже.

Содержание записки о выкупе:
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Dear user, all your important files have been encrypted!
Don't worry! Your files still can be restored by us!
In order to restore it you need to contact with us via e-mail.
sigrun_decryptor@protonmail.ch
As a proof we will decrypt 3 files for free!
Please, attach this to your message:
94 04 00 00 50 1a 63 58 dc 54 f5 a7 fa 63 0f e2
13 f5 37 1d e8 4b 68 4d 3d 8a 15 cc 50 47 46 e2
33 0c fa f0 5e ee 21 3e 24 70 f5 55 6e 34 71 b9
2a cd d6 c3 09 07 0b d4 13 77 10 50 35 14 6d af
77 7b aa a4 1b 30 37 bс 3a bd 64 12 79 63 15 9a

Перевод записки на русский язык:
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Уважаемый пользователь, все ваши важные файлы были зашифрованы!
Не волнуйся! Ваши файлы могут быть восстановлены нами!
Чтобы восстановить его, вам нужно связаться с нами по email.
sigrun_decryptor@protonmail.ch
В качестве доказательства мы расшифруем 3 файла бесплатно!
Пожалуйста, приложите это к вашему сообщению:
[1688 байт в HEX]

В HTML-записке имеется скрытый текст на исландском или древнескандинавском.

Содержание этого текста на исландском или древнескандинавском языке:
Þá brá ljóma
af Logafjöllum,
en af þeim ljómum
leiftrir kómu,
hávar und hjalmum
á Himinvanga,
brynjur váru þeira
blóði stokknar,
en af geirum
geislar stóðu.

Как оказалось, это поэтическое повествование из "Старшей Эдды". Ссылка >>
Sigrun - персонаж из норвежской мифологии, валькирия. Ссылка >>

Технические детали

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24 мая 2018:
Пост в Твиттере >

Результаты анализов: VT

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Sigrun)
 Write-up, Topic of Support
 *

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 S!Ri
 *

Mr.Dec

Mr.Dec Ransomware

(шифровальщик-вымогатель)

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .[ID]<random{16}>[ID]

Пример зашифрованного файла:
Document.xls [ID]s-y7Lle4t021D5BD[ID] - между двумя ID 16 знаков

Активность этого крипто-вымогателя пришлась на середину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Decoding help.hta

Содержание записки о выкупе:
You are unlucky! The terrible virus has captured your files! For decoding please contact by email mr.dec@protonmail.com or mr.dec@tutanota.com
Your
ID ***** ID
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
3. Attach the file with the location c:\Windows\DECODE KEY.KEY
are required to generate the decoder and restore the test file.
Hurry up! Time is limited!
Attention!!!
At the end of this time, the private key for generating the decoder will be destroyed. Files will not be restored!
0·1·19·28

Перевод записки на русский язык:
Вам не повезло! Ужасный вирус захватил ваши файлы! Для декодирования, пожалуйста, свяжитесь по email mr.dec@protonmail.com или mr.dec@tutanota.com
Ваш
ID ***** ID
1. В строке темы напишите ваш ID.
2. Прикрепите 1-2 зараженных файла, которые не содержат важной информации (менее 2 мб)
3. Прикрепите файл из пути c:\Windows\DECODE KEY.KEY, чтобы сгенерировать декодер и восстановить тестовый файл.
Поторопись! Время ограничено!
Внимание!!!
По истечении этого времени частный ключ для генерации декодера будет уничтожен. Файлы не будут восстановлены!
0·1·19·28

Времени, действительно, даётся мало. Потому, после того как оно истечет, при открытии записки о выкупе будет показано следующее. Минимум видимого текста и сообщение о том, что время вышло. Но текст там есть, нужно просто выделить всё курсором.

Технические детали

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24 мая 2018:
Пост в Твиттере >>
Email-1: shine2@protonmail.com
Email-2: shine1@tutanova.com

Скриншот записки с новыми email.

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *

понедельник, 14 мая 2018 г.

Sepsis

Sepsis Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Sepsis Ransomware (написано в заголовке записки о выкупе). На файле написано: svchost.exe.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .SEPSIS
Фактически используется составное расширение .[Sepsis@protonmail.com].SEPSIS

Активность этого крипто-вымогателя пришлась на первую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Info.hta

Содержание записки о выкупе:
Welcome to Sepsis Ransomware!
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Sepsis@protonmail.com
Write this ID in the title of your message 16E734E0
In case of no answer in 24 hours write us to theese e-mails: sepsis@airmail.cc
The price depends on how fast you write to us. You have to pay for decryption in Bitcoins. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://locabitcoins.com/buy bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Добро пожаловать в Sepsis Ransomware!
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на e-mail Sepsis@protonmail.com
Напишите этот идентификатор из заголовка сообщения 16E734E0
В случае отсутствия ответа в течение 24 часов напишите нам на этот email: sepsis@airmail.cc
Цена зависит от того, как быстро вы напишете нам. Вы должны заплатить за дешифрование в биткоинах. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии
Перед уплатой вы можете отправить нам до 5 файлов для бесплатного дешифрования. Общий размер файлов должен быть меньше 10 Мб (не архивированный), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить биткойны
Самый простой способ купить биткоины - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://locabitcoins.com/buy биткойны
Также вы можете найти другие места, где можно купить биткоины и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к полной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Из ресурсов видно, что используется одна составная команда:
/c vssadmin.exe delete shadows /all /quiet & bcdedit.exe /set {default} recoveryenabled no & bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
.AAPP, .BAT, .CAT, .CHM, .CHS, .CHT, .CNT, .CZE, .DAN, .DAT, .DEU, .DLL, .DOC, .DOCX, .ENU, .EPS, .EUQ, .ESP, .EXE, .FLT, .FRA, .GIF, .HLP, .HRV, .HTM, .HTML, .HUN, .HXK, .HXS, .HXT, .IDX_DLL, .INI, .ION, .ITA, .JPG, .JPN, .KOR, .LOG, .LOG1, .LOG2, .MSI, .NLD, .NOR, .OLB, .PDF, .PNG, .POL, .PTB, .RUM, .RUS, .SFX, .SKY, .SLV, .SUO, .SVE, .SYS, .TTF, .TUR, .TXT, .UKR, .WPG, .XLS, .XSL (63 расширения в верхнем регистре).
.aapp, .bat, .cat, .chm, .cxs, .cht, .cnt, .cze, .dan, .dat, .deu, .dll, .doc, .docx, .enu, .eps, .esp, .euq, .exe, .flt, .fra, .gif, .hlp, .hrv, .htm, .htm, .hun, .hxk, .hxs, .hxt, .idx_dll, .ini, .ion, .ita, .jpg, .jpn, .kor, .log, .log1, .log2, .msi, .nld, .nor, .olb, .pdf, .png, .pol, .ptb, .rum, .rus, .sfx, .sky, .slv, .suo, .sve, .sys, .ttf, .tur, .txt, .ukr, .wpg, .xls, .xsl (63 расширения в нижнем регистре).

Это наверняка документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., файлы без расширений, в том числе файл BOOTNXT.

Файлы, связанные с этим Ransomware:
Info.hta
svchost.exe
SadeghSample_5afc4a7c9931365644caeb64.exe
wr.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Windows\svchost.exe

Жестко закодированный мьютекс:
HJG><JkFWYIguiohgt89573gujhuy78^*(&(^&^$
䩈㹇䨼䙫套杉極桯瑧㤸㜵朳橵畨㝹常⠪⠦♞⑞

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sepsis@protonmail.com
sepsis@airmail.cc
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as Sepsis)
 Write-up, Topic of Support
 🎥 Video review

 <- Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 GrujaRS

Шифровальщики-вымогатели

Список страниц

вторник, 22 мая 2018 г.

JosepCrypt

JosepCrypt Ransomware

понедельник, 21 мая 2018 г.

PGPSnippet

PGPSnippet Ransomware

(шифровальщик-вымогатель)

Eternal

Eternal Ransomware

(фейк-шифровальщик)

четверг, 17 мая 2018 г.

Sigrun

Sigrun Ransomware

(шифровальщик-вымогатель)

Mr.Dec

Mr.Dec Ransomware

(шифровальщик-вымогатель)

понедельник, 14 мая 2018 г.

Sepsis

Sepsis Ransomware

(шифровальщик-вымогатель)

Постоянные читатели

Форма для связи / Contact

Norton Internet Security - комплексная антивирусная защита