пятница, 15 декабря 2017 г.

Godra

Godra Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2000 Евро в BTC, чтобы вернуть файлы. Оригинальное название: Godra. Для атаки на ПК под Windows x64. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .godra

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на хорватских пользователей, что не мешает распространять его на Балканах и по всему миру.

Записка с требованием выкупа называется: 
KAKO OTKLJUČATI VAŠE DATOTEKE.txt
KAKO OTKLJUČATI VAŠE DATOTEKE.log




Содержание записки о выкупе:
VAŠE OSOBNE DATOTEKE SU KRIPTIRANE!!!
UPOZORENJE!
NEMOJTE POKUŠAVATI DEKRIPTIRATI VAŠE DATOTEKE SAMI. SVAKO MODIFICIRANJE DEKRIPTIRANIH DATOTEKA BESPOVRATNO ĆE IH UNIŠTITI! JEDNI NAČIN ZA DEKRIPTIRANJE VAŠIH DATOTEKA JE DA DOSLJEDNO SLIJEDITE UPUTE!!!
Što se dogodilo s mojim računalom?
Sve Vaše bitne datoteke su kriptirane.
Svi Vaši dokumenti, fotografije, video materijali, baze podatka i ostale datoteke više nisu dostupne jer su kriptirane. Nemojte pokšavati i gubiti vrijeme na dekriptiranje ili povrat Vaših datoteka jer nitko ne može dekriptirati Vaše datoteke bez naše dekripcijske usluge.
Mogu li vratiti svoje datoteke?
Naravno. GARANTIRAMO vraćanje Vaših datoteke nakon plaćanja:
2.000,00 EUR (dvijetisućeeura) u BTC (BitCoin) protuvrijednosti
Imate 48 sati za slanje uplate, inače se cijena udvostručava. Također, ukoliko nakon još 72 sata ne izvršite uplatu, Vaše datoteke bit će bespovratno izgubljene. Nakon provedene uplate, pošaljite nam "User ID" i broj walleta s kojeg je napravljena uplata na godra@protonmail.ch
User ID: 1513422729
Nakon toga, poslat ćemo Vam dekripcijski softver koji će vratiti Vaše datoteke. Napominjemo da *NI NA KOJI NAČIN* ne modificirate svoje kriptirane datoteke jer povrat NEĆE biti moguć.
Možete nam poslati datoteku na godra@protonmail.ch (do 100kB) kako bi smo Vam dokazali da je dekripcija moguća.
KAKO PLATITI?
Primamo uplate samo u BTC (BitCoin) valuti. Uplata mora biti izvršena na sljedeću adresu:
13srq1SP93mEs7asR2UxWBUts3x9oUcuac
Ne koristite "deep web" novčanike poput Tor Wallet, Onion Wallet, Shadow Wallet, Hidden Wallet i slični.
Kupite BTC (BitCoin) samo sa službene BitCoin mjenjačnice!
Službena tečajna lista i cijene: https://howtobuybitcoins.info/
Preporuke za kupovinu: https://bit4coin.net/ ili https://www.coinbase.com/ ili https://xcoins.io/
Na Bit4Net nije potrebna registracija! Na Xcoins.io možete kupiti BitCoin putem PayPala!
E-mail adresa za komunikaciju: godra@protonmail.ch
Pošaljite nam e-mail s Vašim "User ID" i walletom s kojeg je uplata napravljena!
UPOZORENJE!
NEMOJTE POKUŠAVATI DEKRIPTIRATI VAŠE DATOTEKE SAMI. SVAKO MODIFICIRANJE DEKRIPTIRANIH DATOTEKA BESPOVRATNO ĆE IH UNIŠTITI! JEDNI NAČIN ZA DEKRIPTIRANJE VAŠIH DATOTEKA JE DA DOSLJEDNO SLIJEDITE UPUTE!!!

Перевод записки на русский язык:
ВАШИ ЛИЧНЫЕ ДАННЫЕ ЗАШИФРОВАНЫ!
ВНИМАНИЕ!
НЕ ПЫТАЙТЕСЬ САМИ ДЕШИФРОВАТЬ СВОИ ФАЙЛЫ. ЛЮБОЕ ИЗМЕНЕНИЕ ЗАШИФРОВАННЫХ ФАЙЛОВ ИХ УНИЧТОЖИТ! ЕДИНСТВЕННЫЙ СПОСОБ ДЕШИФРОВАТЬ ВАШИ ФАЙЛЫ - ТОЧНО СЛЕДОВАТЬ ИНСТРУКЦИЯМ !!!
Что случилось с моим компьютером?
Все ваши важные файлы зашифрованы.
Все ваши документы, фотографии, видеоматериалы, базы данных и другие файлы больше не доступны, т.к. они зашифрованы. Не пытайтесь и не тратьте время на дешифрование или восстановление ваших файлов, потому что никто не сможет дешифровать ваши файлы без нашей службы дешифровки.
Могу ли я восстановить файлы?
Конечно. МЫ ГАРАНТИРУЕМ возврат ваших файлов после оплаты:
2.000,00 евро (две тысячи евро) в BTC (BitCoin) эквиваленте
У вас есть 48 часов для отправки платежа, иначе цена удвоится. Кроме того, если вы не сделаете платеж за 72 часа,
Ваши файлы будут безвозвратно утрачены. После оплаты пришлите нам "User ID" и номер кошелька, с которого была сделана оплата, на godra@protonmail.ch
User ID: 556616351
После этого мы отправим вам программу дешифрования, которая восстановит ваши файлы. Обратите внимание, что *НИКАКИМ ОБРАЗОМ* не изменяйте свои зашифрованные файлы, потому что восстановление будет невозможно.
Вы можете прислать нам файл на godra@protonmail.ch (до 100 КБ), чтобы доказать, что дешифровка возможна.
КАК ПЛАТИТЬ?
Мы принимаем платежи только в BTC-валюте (BitCoin). Оплату нужно сделать на следующий адрес:
13srq1SP93mEs7asR2UxWBUts3x9oUcuac
Не используйте "deep web" кошельки, такие как Tor Wallet, Onion Wallet, Shad's Wallet, Hidden Wallet и т.п.
Покупайте BTC (BitCoin) только с официального BitCoin Exchange!
Официальные курсы валют и цены: https://howtobuybitcoins.info/
Рекомендации по покупке: https://bit4coin.net/ или https://www.coinbase.com/ или https://xcoins.io/
На Bit4Net не нужна регистрации! На xcoins.io можете купить BitCoin через PayPal!
Email-адрес для сообщения: godra@protonmail.ch
Отправьте нам email с вашим "User ID" и кошельком, с которого была сделана оплата!
ВНИМАНИЕ!
НЕ ПЫТАЙТЕСЬ САМИ ДЕШИФРОВАТЬ СВОИ ФАЙЛЫ. ЛЮБОЕ ИЗМЕНЕНИЕ ЗАШИФРОВАННЫХ ФАЙЛОВ ИХ УНИЧТОЖИТ! ЕДИНСТВЕННЫЙ СПОСОБ ДЕШИФРОВАТЬ ВАШИ ФАЙЛЫ - ТОЧНО СЛЕДОВАТЬ ИНСТРУКЦИЯМ !!!


Другим информатором жертвы выступает диалоговое окно с сообщением.

Содержание диалога с заголовком Kraj:
Sve Vaše datoteke su kriptirane!
Detaljno proučite dokumentaciju i kontaktirajte nas na godra@protonmail.ch

Перевод диалога на русский язык:
Все ваши файлы зашифрованы!
Детально изучите документацию и напишите нам на godra@protonmail.ch
_
Хорватское слово "kraj" по-русски тоже "край" (край, конец чего-либо).




Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (PDF.EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений (Adobe, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Когда пользователь попытается открыть вредоносное вложение, то программа Adobe Acrobat Reader сообщит, что не может открыть этот файл. В этот момент запущенный вредонос начнет своё чёрное дело. Серия скриншотов в виде одного gif-файла демонстрирует то, что происходит на экране.


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Prijedlog_za_ovrhu_urbr_220-2017.pdf{EXE}
KAKO OTKLJUČATI VAŠE DATOTEKE.txt
KAKO OTKLJUČATI VAŠE DATOTEKE.log
<random>.exe
<random>.tmp
Всего: 925 сброшенных файлов, включая мусор.

Расположения:
\AppData\Local\Temp\Prijedlog_za_ovrhu_urbr_220-2017.pdf{EXE}
\AppData\Local\Temp\KAKO OTKLJUČATI VAŠE DATOTEKE.log
\Desktop\ ->
\User_folders\ ->
Информация о файле Prijedlog_za_ovrhu_urbr_220-2017.pdf.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
White-URL: xxxx://curl.haxx.se/docs/http-cookies.html
Malware-URL: xxxxs://www.fina.online/ovr/a.php (68.65.122.71:443, США)
xxxx://beonewedding.com/ 
xxxx://kotobcom.com/
xxxx://moovies123.com/ 
xxxx://www.moovies123.com/ 
xxxx://www.moovies123.com/alien-covenant-2017/ 

Email: godra@protonmail.ch
BTC: 13srq1SP93mEs7asR2UxWBUts3x9oUcuac
См. ниже результаты анализов.

Результаты анализов:
⫸ ANY.RUN анализ и обзор >>
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Godra)
 Write-up, Topic of Support
 *

 Thanks: 
 S!Ri, Michael Gillespie
 Any.Run
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoManiac

CryptoManiac Ransomware

(шифровальщик-вымогатель, деструктор)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: CRYPTOMANIAC (есть в записке о выкупе). Написан на Python.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Python >> CryptoManiac

К зашифрованным файлам добавляется расширение .maniac

Кроме шифрования файлов также производится их выборочное удаление, отсюда вторая характеристика — деструктор

Активность этого крипто-вымогателя пришлась на середину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, вероятно, находится в разработке. 

Записки с требованием выкупа называются: 
Readme_to_recover_files.txt

Readme_to_recover_files.html


Содержание записки о выкупе:
CRYPTOMANIAC
All your files have been encrypted by CRYPTOMANIAC!
All your files have been encrypted due to a security problem with your PC.
If you want to restore them, run the REQUEST RECOVERY application that will be automatically downloaded by CRYPTOMANIAC, if it is not automatically downloaded visit this link
***
You have to pay for decryption in Bitcoins.
The price is usually $500 worth of Bitcoin.
After payment you will be mailed the decryption tool that will decrypt all your files.
Free decryption as guarantee before paying you can get it from the REQUEST RECOVERY tool.
The free decryption tool only decrypts 10 files of the following extensions
***
How to obtain Bitcoins.
The easiest way to buy bitcoins is LocalBitcoins site.
You have to register, click 'Buy bitcoins", and select the seller by payment method and price, https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here: http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not attempt to use a file recovery software like recuva or windows recovery, as this attempt is useless and futile as CRYPTOMANIAC destroys windows shadow volume making it unrecoverable.
Do not rename encrypted files.
Do not try to decrypt your data using thud party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to ours) or you can become a victim of a scam.
Please note that 250 of your personal files will be permanently deleted when the program resets either by terminating it or by a system reboot and 25 files will be permanently deleted every 60 minutes, so pay fast to reduce amount of files that will be permanently lost
Extra links to download REQUEST RECOVERY tool incase the one above is not available.
***

Перевод записки на русский язык:
CRYPTOMANIAC
Все ваши файлы зашифрованы CRYPTOMANIAC!
Все ваши файлы зашифрованы из-за проблемы с безопасностью на вашем ПК.
Если вы хотите их восстановить, запустите приложение REQUEST RECOVERY, которое автоматически загрузит CRYPTOMANIAC, если оно не загрузится автоматически, посетите эту ссылку 
***
Вы должны заплатить за дешифрование в биткоинах.
Цена обычно составляет $500 в биткоинах.
После оплаты вам будет отправлен по email инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии перед уплатой вы можете получить в инструменте REQUEST RECOVERY.
Бесплатный инструмент дешифрования расшифрует только 10 файлов следующих расширений
***
Как получить биткойны.
Самый простой способ купить биткоины - сайт LocalBitcoins.
Вам надо зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца по способу оплаты и цене, https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, где можно купить биткоины и руководство для начинающих здесь: http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не пытайтесь использовать программы для восстановления файлов, такие как Recuva или восстановление Windows, т.к. эта будет бесполезно, поскольку CRYPTOMANIAC уничтожает теневые копии Windows, делая их невосстановимыми.
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровывать свои данные с помощью программ третьих лиц, это может привести к утрате данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавят плату за нас), или вы можете стать жертвой мошенничества.
Обратите внимание, что 250 ваших личных файлов будут окончательно удалены, когда работа программа прерывается либо путём её завершения, либо путём перезагрузки системы, и 25 файлов будут удаляться каждые 60 минут, поэтому быстрее платите, чтобы уменьшить количество файлов, которые будут утрачены.
Дополнительные ссылки для загрузки инструмента REQUEST RECOVERY в случае, если приведенные выше, недоступны.
***

_
Signs *** in the text replaced the places that were hidden by the first researcher, who introduced Ransomware in his tape.
Знаки *** в тексте заменили места, скрытые первым исследователем, представивший Ransomware на своей ленте. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoManiac.py
<REQUEST RECOVERY>.exe
<note>.html

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cyclone

Cyclone Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Crypter. На файле написано: Crypter.exe. На экране блокировки написано: Cyclone Ransomware. Написан на Python. Создается при помощи Ransomware-генератора. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Ransomvare Builder >> Noblis, Cyclone

К зашифрованным файлам добавляется расширение .Cyclone

Активность этого крипто-вымогателя пришлась на середину декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
The important files on your computer have been encrypted with military grade AES-256 bit encryption.
Your documents, videos, images and other forms of data are now inaccessible, and cannot be unlocked without the decryption key. This key is currently being stored on a remote server.
To acquire this key, transfer the Bitcoin Fee to the specified wallet address before the time runs out.
If you fail to take action within this time window, the decryption key will be destroyed and access to your files will be permanently lost.
WALLET ADDRESS: 1BJd8oipsaE16QGBhegj9wYfCMyYR143H7
BITCOIN FEE: 0.005

Перевод записки на русский язык:
Важные файлы на вашем компьютере были зашифрованы с AES-256 бит военного класса шифрованием
Ваши документы, видео, изображения и другие формы данных теперь недоступны и не могут быть разблокированы без ключа дешифрования. Этот ключ в настоящее время хранится на удаленном сервере.
Чтобы получить этот ключ, передайте биткоин плату на указанный адрес кошелька до окончания времени.
Если вы не примите меры за время в этом окне, ключ дешифрования будет уничтожен и доступ к вашим файлам будет потерян.
WALLET ADDRESS: 1BJd8oipsaE16QGBhegj9wYfCMyYR143H7
BITCOIN FEE: 0.005



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Crypter.exe

Расположения:
\Temp\Crypter.exe
\Temp\<python_unpacked_files>
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
VirusBuy анализ >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 VirusBuy
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 14 декабря 2017 г.

RSA-NI

RSA-NI Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные серверов с помощью RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.
Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Attention!!! Your data breaches!!!.txt

Содержание записки о выкупе:
=========# rsa-ni ransomware #========
IMPORTANT: [redacted] and [redacted]
We hacked your server and copied your important data.
Please write us to the e-mail in 24 hours 0x720x730x610x30@tutanota.com  0x720x730x610x31@tutanota.com
After payment, Your data will be destroyed, Otherwise your data will be leaked to the public.
=========# rsa-ni ransomware #========

Перевод записки на русский язык:
=========# rsa-ni ransomware #========
ВАЖНО: [отредактировано] и [отредактировано]
Мы взломали ваш сервер и скопировали ваши важные данные.
Пожалуйста, напишите нам на e-mail за 24 часа 0x720x730x610x30@tutanota.com 0x720x730x610x31@tutanota.com
После оплаты ваши данные будут уничтожены, иначе ваши данные станут доступны для публики.
=========# rsa-ni ransomware #========



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Серверные файлы, но это также могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Attention!!! Your data breaches!!!.txt
<random>.exe

Расположения:
/www/ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 0x720x730x610x30@tutanota.com
0x720x730x610x31@tutanota.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Styx

Styx Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: Styx Ransomware (написано в записке о выкупе). На файле написано: STX.exe, STX1.2.exe или что попало.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .styx

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
0_HELP_DECRYPT_FILES.txt
0_HELP_DECRYPT_FILES2.txt
0_HELP_DECRYPT_FILES.html
0_HELP_DECRYPT_FILES2.html

Текстовый вариант записки о выкупе

Содержание текстовой записки о выкупе:
Attention!
All of your files have been encrypted by Styx Ransomware!
----Not your language? USE: https://translate.google.com/----
--------------------------------------------------------------------------------------
All of your files (photos, videos, documents, etc) are encrypted using AES-256 bit encryption
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and a decrypt program which is on our secret server.
Decryption of your files will cost you $300 Dollars worth of Bitcoin
Your files will be lost at 12/20/2017 7:12:35 PM, when this date has been passed your files are lost forever.
Please follow these instructions:
1. You can make a payment with Bitcoin, there are many methods to get them.
2. Register a bitcoin wallet or login to one if you already have one, if you don't we recommend http://blockchain.info
3. Purchasing Bitcoins, altought it's not yet easy to buy bitcoins, it's getting simpler every day
Here are our recommendations:
https://localbitcoins.com/ International
https://blockchain.info
https://coincafe.com
https://buy.bitcoin.com/
4. Send 300$ dollars worth of Bitcoins to the address specified below. After sending bitcoins send email to styxsupport@mail2tor.com with your Personal Identifier and your Bitcoin transaction ID
We will send you the decryption key and program after the payment has been confirmed
--------------------------------------------------------------------------------------
YOUR PERSONAL Identifier: [redacted hex]
Bitcoin Address: 15mA1ea42KSRpjYDiEJYjrHCjjMp3Cq3SG
Bitcoin Amount: 300$ dollars worth of Bitcoins
--------------------------------------------------------------------------------------
5. After your payment has been confirmed, you will receive your decryption program and key in 1 hour
to email address that was used in Step 4.

Перевод записки на русский язык:
Внимание!
Все ваши файлы были зашифрованы Styx Ransomware!
---- Не ваш язык? ИСПОЛЬЗУЙТЕ: https://translate.google.com/----
-------------------------------------------------- ------------------------------------
Все ваши файлы (фото, видео, документы и т.д.) зашифрованы AES-256 бит шифрованием 
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Расшифровка ваших файлов возможна только с закрытым ключом и программой расшифровки, которая есть на нашем секретном сервере.
Расшифровка ваших файлов обойдется вам в 300 долларов в биткоинах
Ваши файлы будут утеряны в 12/20/2017 7:12:35 PM, когда эта дата истечет, ваши файлы будут потеряны навсегда.
Следуйте этим инструкциям:
1. Вы можете заплатить биткоины, есть много способов их получить.
2. Зарегистрируйте биткоин-кошелек или войдите в систему, если у вас он уже есть, если вы этого не делали, рекомендуем http://blockchain.info
3. Приобретение биткоинов, считалось, что покупать биткоины нелегко, становится все проще каждый день
Вот наши рекомендации:
https://localbitcoins.com/ международный
https://blockchain.info
https://coincafe.com
https://buy.bitcoin.com/
4. Отправьте биткоины на сумму 300 долларов по ниже адресу. После отправки биткоинов пришлите email по адресу styxsupport@mail2tor.com с вашим личным идентификатором и вашим ID транзакции биткоинов
Мы отправим вам ключ и программу дешифрования после подтверждения оплаты.
-------------------------------------------------- ------------------------------------
ВАШ ЛИЧНЫЙ Идентификатор: [отредатировано]
Биткоин-адрес: 15mA1ea42KSRpjYDiEJYjrHCjjMp3Cq3SG
Биткоин-сумма: биткойны на сумму в 300 долларов
-------------------------------------------------- ------------------------------------
5. После подтверждения оплаты вы получите свою программу дешифрования и ключ за 1 час
на email-адрес, который использовался в шаге 4.


Варианты HTML-записок (реконструкция)



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.123, .602, .asm, .CSV, .dif, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .hwp, .mml, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .pdf, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .RTF, .rtf, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .sxc, .sxd, .sxi, .sxm, .sxw, .txt, .uop, .uot, .wb2, .wk1, .wks, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml (64 расширения)

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
STX.exe
STX1.2.exe
Они же под именами: FacebookHackerTool V4.7.exe, Reloder Activator.exe, Application.exe

Расположения:
\Desktop\ ->
\User_folders\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: styxsupport@mail2tor.com
BTC: 15mA1ea42KSRpjYDiEJYjrHCjjMp3Cq3SG
См. ниже результаты анализов.

Результаты анализов:
HA - Гибридный анализ - Nov 25 >>
HA - Гибридный анализ - Dec 13 >>
VT - VirusTotal анализ - Nov 22 >>
VT - VirusTotal анализ - Nov 25 >>
VT - VirusTotal анализ - Nov 26 >>
VT - VirusTotal анализ - Dec 2 >>
VT - VirusTotal анализ - Dec 7 >>
VB - VirusBuy анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Styx)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 13 декабря 2017 г.

CrY-TrOwX

CrY Ransomware 

CrY-TrOwX Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CrY (указано в записке). На файле написано: CrY и TrOwX 2017. Разработчик: ismail.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> CrY-TrOwX

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_AND_CRY_.txt
По коду это READ_AND_CRY+[passTxt].txt


Содержание записки о выкупе:
Hello All Your Important Files Are Encrypted by CrY!
Communicate With Us To Save Your Files!
E-Mail Address : kaya.kyasor99@yandex.com

Перевод записки на русский язык:
Привет Все Ваши Файлы Зашифрованы CrY!
Свяжитесь с нами, чтобы сохранить ваши файлы!
E-Mail адрес : kaya.kyasor99@yandex.com

Другим информатором жертвы является изображение, встающее обоями рабочего стола. 
Текст аналогичен тому, что в записке. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CrY.exe
READ_AND_CRY_.txt

Расположения:
\Desktop\READ_AND_CRY_.txt
\Desktop\ ->
\User_folders\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: kaya.kyasor99@yandex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton