пятница, 24 октября 2014 г.

TorLocker

TorLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в $300, чтобы вернуть файлы. Оригинальное название: TorLocker
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: TorLocker: версии 1.0.1 и 2.0

К зашифрованным файлам никакое расширение не добавляется. 
Имена и расширения шифруемых файлов не изменяются.

Активность этого крипто-вымогателя пришлась на вторую половину октября 2014 и продолжилась в 2015 году. Ориентирован на англоязычных и японских пользователей, что не мешало распространять его по всему миру.

Известны две версии: 1.0.1 (на английском языке) и 2.0 (на английском и японском языках). 

Запиской с требованием выкупа выступает изображение, заменяющее обои на Рабочем столе. 

Содержание текста о выкупе:
TorLocker
Your important files produced in this computer and network shares: photos, videos, documents, pdf, music, autocad, spreadsheets, etc., were encrypted.
If you see this text but do not see the "TorLocker" window, then your antivirus removed "TorLocker" from your computer.
If you need your files back, you have to recover "TorLocker" from the antivirus quarantine, or find a copy of "TorLocker" in the internet and start it again.
Please disable any Firewall or Antivirus permanently if the Payment address don't show to you
You can download "TorLocker" from the link given below, using the tool "Tor Browser Bundle"
xxxx://************.onion/851B1EA29B9323685D6812D6D9F9D660.exe

Перевод текста на русский язык:
Ваши важные файлы, созданные на этом компьютере и сетевых ресурсах: фотографии, видео, документы, PDF, музыка, autocad, электронные таблицы и т.д, были зашифрованы.
Если вы видите этот текст, но не видите окно "TorLocker", ваш антивирус удалил "TorLocker" с вашего компьютера.
Если вам нужны ваши файлы, вам надо восстановить "TorLocker" из антивирусного карантина или найти копию "TorLocker" в Интернете и запустить её снова.
Пожалуйста, отключите любой брандмауэр или антивирус на постоянно, если платежный адрес вам не показывается
Вы можете скачать "TorLocker" по приведенной ниже ссылке, используя инструмент "Tor Browser Bundle"
xxxx://************.onion/851B1EA29B9323685D6812D6D9F9D660.exe

Другим информатором жертвы выступает экран блокировки (английский или японский).
Английский и японский экрана блокировки


Содержание текста о выкупе:
Your personal files are encrypted!
Your important files are encrypted produced on this computer: photos, videos, documents, etc. Click «List Of Encrypted files» to see a complete list of encrypted files, and you can verify this.
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain private key.
The single copy of the private key, which will allow you to decrypt the files, is located on a secret server on the Internet, the server will destroy the key after a time specified in this window. After that, nobody will never be able to restore your files...
To obtain the private key for this computer, which will automatically decrypt your files, you need to pay 300 USD / 300 EUR / 300 CAD / similar amount in another currency.
Click «Next» to select the method of payment.
Any attempt to remove or damage this software will lead to the immediate destruction of the private key by the server.
Private key will be destroyed on  xx.xx.xx
Time Left xx.xx.xx

Перевод текста на русский язык:
Ваши личные файлы зашифрованы!
Ваши важные файлы зашифрованы на этом компьютере: фотографии, видео, документы и т.д. Нажмите «List Of Encrypted files», чтобы просмотреть полный список зашифрованных файлов, и вы можете это проверить.
Шифрование было создано с использованием уникального открытого ключа RSA-2048, сгенерированного для этого компьютера. Чтобы расшифровать файлы, вам нужно получить секретный ключ.
Отдельная копия закрытого ключа, которая позволит вам расшифровать файлы, расположена на секретном сервере в Интернете, сервер уничтожит ключ по истечении времени, указанного в этом окне. После этого никто никогда не сможет восстановить ваши файлы ...
Чтобы получить секретный ключ для этого компьютера, который автоматически расшифрует ваши файлы, вам нужно заплатить 300 долларов / 300 евро / 300 CAD / аналогичную сумму в другой валюте.
Нажмите «Next», чтобы выбрать способ оплаты.
Любая попытка удалить или повредить это программное обеспечение приведет к немедленному уничтожению закрытого ключа сервером.
Закрытый ключ будет уничтожен на xx.xx.xx
Время осталось xx.xx.xx

Хоть вымогатели и грозятся в случае неполучения оплаты удалить приватный ключ, нужный для расшифровки файлов, но в действительности RSA-ключи не удаляются, т.к. они привязаны к сэмплу, а не к конкретному пользователю, в связи с чем один и тот же ключ RSA используется сразу у нескольких пользователей.


Технические детали

Распространялся через через бот-сеть Andromeda, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Криптостроитель TorLocker (программа для создания новых образцов с настройками) распространялся через партнёрскую программу и продавался за несколько биткоинов. 

Для связи c операторами вымогателей использовалась сеть Tor и прокси-сервер Polipo. Похоже, что использование Tor-сети становится нормой среди вымогателей. 

✔ TorLocker завершает системные процессы: taskmgr.exe, regedit.exe, procexp.exe, procexp64.exe
 Удаляет все точки восстановления системы.
 Скачивает по заданным в конфигурации ссылкам (TorLocker 2.0) или извлекает из секции данных (TorLocker 1.0) файлы tor.exe и polipo.exe, необходимые для связи с C&C-серверами.
 Запускает экран блокировки (английский или японский) с предложением заплатить выкуп вымогателям. Поддерживаемые методы оплаты: BitCoin, UKash, PaySafeCard.
 Определяет IP-адреса ПК через сайты www.iplocation.net, www.seuip.com.br, whatismyipaddress.com, checkip.dyndns.org
 Устанавливает связь с C&C сервером в onion-домене через прокси-сервер polipo 127.0.0.1:57223. 

 Если жертва заплатила выкуп, то после установки связи с C&C и отправки информации о клиенте (публичный ключ RSA, количество зашифрованных файлов, IP-адрес и ID клиента, способ оплаты и номер банковской карты), троянец в ответ получает закрытый RSA-ключ для расшифровки файлов (в этом случае создается поток для расшифровки файлов). Иначе отправляется сообщение о том, что оплата не поступила. В каждом сэмпле шифровальщика прописаны десятки доменных имен серверов, они не меняются и, видимо, ведут на один и тот же сервер.

Особенности шифрования
Файлы шифруются AES-256 со случайно сгенерированным одноразовым ключом, при этом для каждого файла создается свой ключ шифрования. Далее в конец каждого файла дописывается служебная структура размером 512 байт: 32 байта паддинга, 4 байта идентификатора троянца и 476 байт – использованный ключ AES, зашифрованный RSA-2048.

Если размер файла больше 512 Мб + 1 байт, то шифруются лишь первые 512 Мб файла. Шифрованные данные пишутся непосредственно поверх незашифрованных, создания нового файла и удаления старого не происходит.
Интернет-доступ во время шифрования файлов шифровальщику не нужен.



Список файловых расширений, подвергающихся шифрованию:
.3gp, .7z, .accdb, .ai, .aiff, .arw, .avi, .backup, .bay, .bin, .blend, .cdr, .cer, .cr2, .crt, .crw, .dat, .dbf, .dcr, .der, .dit, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .edb, .eps, .erf, .flac, .gif, .hdd, .indd, .jpe, .jpeg, .jpg, .kdc, .kwm, .log, .m2ts, .m4p, .mdb, .mdf, .mef, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .ndf, .nef, .nrw, .nvram, .odb, .odm, .odp, .ods, .odt, .ogg, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .pif, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .pwm, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .raw, .rtf, .rvt, .rw2, .rwl, .sav, .sql, .srf, .srw, .stm, .txt, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx, .zip (119 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, сертификаты, резервные копии, архивы и пр.

При шифровании пропускаются файлы, находящиеся в директориях %windir% и %temp%.

Файлы, связанные с этим Ransomware:
torlocker.exe
<image>.bmp

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: была высокая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Внимание!
Для зашифрованных файлов есть декриптер
Скачать ScraperDecryptor для дешифровки >>
Более чем в 70% случаев файлы можно дешифровать
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Securelist.ru: Виктор Алюшин, Федор Синицын
 
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 21 октября 2014 г.

SuperCrypt

SuperCrypt Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует уплатить выкуп ваучерами Ukash на сумму 300€ или отправив 1 биткоин, чтобы вернуть файлы. К зашифрованным файлам добавляется расширение .SUPERCRYPT. Название получил от добавляемого расширения. 

Активность этого криптовымогателя пришлась на октябрь 2014 - февраль 2015. Ориентирован на взлом серверов в Европе (Италия, Франция, Польша и пр.) и Америке (Бразилия и пр.). 

Записки с требованием выкупа называются HOW TO DECRYPT FILES.txt и размещаются на рабочем столе. 

Содержание записки о выкупе:
If you're reading this text file, then ALL your FILES are BLOCKED with the most strongest military cipher.
All your data - documents, photos, videos, backups - everything in encrypted.
The only way to recover your files - contact us via supercrypt@mailer9.com
Only we have program that can completely recover your files.
Attach to e-mail:
1. Text file with your code ("HOW TO DECRYPT FILES.txt")
2. One encrypted file (please dont send files bigger than 1 MB)
We will check your code from text file and send to you our conditions and your decrypted file as proof that we actually have decrypter.
Remember:
1. The FASTER you'll CONTACT US - the FASTER you will RECOVER your files.
2. We will ignore your e-mails without attached code from your "HOW TO DECRYPT FlLES.txt"
3. If you haven't received reply from us - try to contact us via public e-mail services such as Yahoo or so.

Перевод записки на русский язык:
Если ты читаешь этот текстовый файл, то все твои файлы блокированы самым сильным военным шифром.
Все твои данные - документы, фото, видео, резервное копирование - все в зашифрованном виде.
Единственный способ восстановить файлы - связаться с нами через supercrypt@mailer9.com
Только у нас есть программа, которая может полностью восстановить твои файлы.
Добавить к email:
1. Текстовый файл с кодом ("HOW TO DECRYPT FILES.txt")
2. Один зашифрованный файл (пожалуйста, не отправляй файлы больше 1 Мб)
Мы проверим твой код из текстового файла и пришлем наши условия и твой расшифрованный файл как доказательства того, что у нас есть декриптер.
Запомни:
1. Быстрее контакт с нами - быстрее восстановишь свои файлы.
2. Мы будем игнорировать email-письма без прикрепленного кода из твоего "HOW TO DECRYPT FILES.txt"
3. Если ты не получил ответ от нас - пробуй связаться с нами с помощью email-почты Yahoo или подобной.

Email вымогателей: supercrypt@mailer9.com

Сведения о глобальном распространении отсутствуют. Распространения как такового и не было засвидетельствовано. Злоумышленики компрометировали сервера и компьютеры путем хакерских атак и взлома с помощью удаленного рабочего стола через RDP и VNC-порты или службы терминалов. Чаще всего пострадавшие упоминали про 3389 порт. После того, как хакер получал доступ к системе и вредоносное ПО было уже в компьютере, запускался защищенный паролем установщик SuperCrypt, который выполнял шифрование. По окончании шифрования хакер сам удалял всё вредоносное ПО с компьютера. Жертвы, которые заплатили выкуп, получили исправно отработавшую программу дешифрования и файлы были дешифрованы. 

Список файловых расширений, подвергающихся шифрованию:
- файлы документов;
- исполняемые файлы;
- файлы прикладных программ. 

Файлы, связанные с Ransomware:
HOW TO DECRYPT FILES.txt 

Записи реестра, связанные с Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая; сейчас угроза неактивна.
Подробные сведения собираются.


http://www.bleepingcomputer.com/forums/t/552801/new-supercrypt-ransomware-appears-to-be-distributed-via-hacked-terminal-services/
http://www.bleepingcomputer.com/forums/t/551979/supercrypt-ransomware-support-and-help-topic-how-to-decrypt-filestxt/
 Thanks:
 Lawrence Abrams (Grinler)
 
 

среда, 10 сентября 2014 г.

CRP, AES256-06

CRP Ransomware 

AES256-06 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, добавляя файлам CRP. Оригинальное название неизвестно. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется приставка CRP

Пример зашифрованного файла: 
CRPIMG_0168.jpg

Активность этого крипто-вымогателя пришлась на сентябрь 2014 г. Ориентация неизвестна. 

Записка с требованием выкупа отсутствует или не обнаружена. 

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Не меняет имя файла, а добавляет к его имени приставку CRP
 В начало файла добавляет строку "AES 256" в HEX: 06 00 41 45 53 32 35 36 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
random.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as AES256-06)
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 (victim in the topics of support)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 20 марта 2014 г.

CryptoDefense

CryptoDefense Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп от 500 и выше долларов или евро, чтобы вернуть файлы обратно. Через 4 дня сумма выкупа удваивается до 1000 и выше долларов. Активность этого криптовымогателя пришлась на февраль-март 2014 г., но периодически обнаруживаются новые вредоносные кампании. 

© Генеалогия: CryptoDefense. Начало >> клоны

Записки с требованием выкупа создаются в каждой папке с зашифрованными файлами и называются:
HOW_DECRYPT.TXT
HOW_DECRYPT.HTML
HOW_DECRYPT.URL
TXT-вариант записки о выкупе

HTML-вариант записки о выкупе

Может быть открыто следующее окно браузера с адресом: 
https://rj2bocejarqnpuhm.tor2web.org/[RANDOM ***], где жертве объясняется как оплатить выкуп в биткоинах. 

Содержание текстовой записки о выкупе:
All files including videos, photos and documents on your computer are encrypted by CryptoDefense Software. 
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key. 
The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a month. After that, nobody and never will be able to restore files. 
In order to decrypt the files, open your personal page on the site https://rj2bocejarqnpuhm.onion.to/*** and follow the instructions. 
If https://rj2bocejarqnpuhm.onion.to/*** is not opening, please follow the steps below: 
IMPORTANT INFORMATION: 
Your Personal PAGE: https://rj2bocejarqnpuhm.onion.to/*** 
Your Personal PAGE(using TorBrowser): rj2bocejarqnpuhm.onion/***
Your Personal CODE(if you open site directly): ***

Перевод записки на русский язык:
Все файлы, включая видео, фото и документы на компьютере зашифрованы с помощью CryptoDefense Software.
Шифрование было сделано с уникальным открытым ключом RSA-2048, созданным для этого компьютера. Для расшифровки файлов вам надо получить секретный ключ.
Единственный экземпляр секретного ключа, который позволит вам расшифровать файлы, расположен на секретном сервере в сети Интернет; сервер уничтожит ключ через месяц. После этого никто и никогда не сможет восстановить файлы.
Для того, чтобы расшифровать файлы, откройте свою персональную страницу на сайте https://rj2bocejarqnpuhm.onion.to/*** и следуйте инструкциям.
Если https://rj2bocejarqnpuhm.onion.to/*** не открывается, пожалуйста, выполните следующие действия:
ВАЖНАЯ ИНФОРМАЦИЯ:
Ваша личная страница: https://rj2bocejarqnpuhm.onion.to/***
Ваша личная страница (для TorBrowser): rj2bocejarqnpuhm.onion / ***
Ваш личный код (если вы открываете сайт напрямую): ***

Распространяется с помощью email-спама и вредоносных вложений, с помощью ссылок на вредоносные сайты, содержащие эксплойт.

Список файловых расширений, подвергающихся шифрованию:
.asp, .ass, .ava, .avi, .bay, .bmp, .c, .cer, .cpp, .crt, .cs, .db, .der, .doc, .dtd, .eps, .gif, .h, .hpp, .jpg, .js, .key, .lua, .m, .mp3, .mpg, .msg, .obj, .odt, .pas, .pdb, .pdf, .pem, .pl, .png, .ppt, .ps, .py, .raw, .rm, .rtf, .sql, .swf, .tex, .txt, .wb2, .wpd, .xls (48 расширений).

CryptoDefense создает следующую запись реестра, чтобы сохранить путь всех зашифрованных файлов: HKEY_CURRENT_USER\Software\[RANDOM CHARACTERS]\PROTECTED 

CryptoDefense создает следующие записи в реестре, чтобы запускаться каждый раз при запуске Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" = "%AppData%\[RANDOM CHARACTERS].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[RANDOM CHARACTERS]" =" C:\[RANDOM CHARACTERS]\[RANDOM CHARACTERS].exe"

CryptoDefense удаляет тома теневых копий файлов, отключает службу восстановления Windows, службу восстановления после ошибок при запуске, систему обеспечения безопасности. 

Файлы, связанные с CryptoDefense Ransomware:
%UserProfile%\Desktop\HOW_DECRYPT.URL
%UserProfile%\Desktop\HOW_DECRYPT.TXT
%UserProfile%\Desktop\HOW_DECRYPT.HTML
C:\<random>\<random>.exe
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Documents and Settings\<User>\Application Data\<random>.exe (XP)
C:\Documents and Settings\<User>\Local Application Data\<random>.exe (XP)

Записи реестра, связанные с CryptoDefense Ransomware:
HKEY..\..\{CLSID Path}
HKEY_CURRENT_USER\Software\[unique id]
HKEY_CURRENT_USER\Software\[unique id] "finish" = "1"
HKEY_CURRENT_USER\Software\[unique id]\PROTECTED

Сетевые подключения и связи:
machetesraka.com
markizasamvel.com
armianazerbaijan.com
allseasonsnursery.com

BTC:
1EmLLj8peW292zR2VvumYPPa9wLcK4CPK1 (первая транзакция 18 марта 2014 года)

19DyWHtgLgDKgEeoKjfpCJJ9WU8SQ3gr27 (первая транзакция 28 февраля 2014 года)



Степень распространённости: высокая, включая клоны. 
Подробные сведения собираются.


Внимание! 
Для зашифрованных файлов есть декриптер.

понедельник, 10 марта 2014 г.

BitCrypt 2.0

BitCrypt 2.0 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-426 + AES, а затем требует выкуп в 0.4 BTC (биткоины), чтобы вернуть файлы. Оригинальные названия: Bitcrypt и BitCrypt (указано в записке). На файле может быть написано, что попало.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: BitCrypt > BitCrypt 2.0

К зашифрованным файлам добавляется расширение .bitcrypt2

Активность этого крипто-вымогателя пришлась на вторую половину февраля 2018 г. Ориентирован на разноязычных пользователей, что позволило успешно распространять его по всему миру. Разные источники сообщают, что наибольшее число пострадавших было из США. 

Записка с требованием выкупа называется: BitCrypt.txt

Она написана на 10 языках мира: английском, французском, немецком, итальянском, испанском, португальском, русском, японском, китайском, арабском.


Содержание записки о выкупе:
Attention!!!
Your BitCrypt ID: {transaction ID}
All necessary files on your PC ( photos, documents, data bases and other) were encoded with a unique RSA-1024 key.
Decoding of your files is only possible by a special programm that is unique for each BitCrypt ID.
Specialists from computer repair services and anti-virus labs won't be able to help you.
In order to receive the program decryptor you need to follow this link xxxx://www.bitcrypt.info and read the instructions.
If current link doesn't work but you need to restore files please follow the directions:
1. Try to open link kphijmuo2x5expag.tor2web.com. If you failed proceed to step 2.
2. Download and install tor browser xxxx://www.torproiect.org/projects/torbrowser.html
3. After installation, start tor browser and put in tne following address kphijmuo2x5expag.onion
Remember, the faster you act the more chances to recover your files undamaged.

Перевод записки на русский язык:
Внимание! ! !
Ваш BitCrypt ID: {transaction ID}
Все нужные файлы на вашем ПК (фото, документы, базы данных и другие) были зашифрованы с уникальным ключом RSA-1024.
Дешифрование ваших файлов возможно только с помощью специальной программы, которая уникальна для каждого BitCrypt ID.
Специалисты из служб ремонта компьютеров и антивирусных лабораторий не смогут вам помочь.
Чтобы получить дешифратор программы, вам необходимо следовать этой ссылке xxxx://www.bitcrypt.info и прочитать инструкции.
Если текущая ссылка не работает, но вам необходимо восстановить файлы, следуйте инструкциям:
1. Попробуйте открыть ссылку kphijmuo2x5expag.tor2web.com. Если вы не перешли к шагу 2.
2. Загрузите и установите браузер браузера xxxx://www.torproiect.org/projects/torbrowser.html.
3. После установки запустите браузер браузера и введите следующий адрес: kphijmuo2x5expag.onion
Помните, чем быстрее вы действуете, тем больше шансов восстановить неповрежденные файлы.

Другие информатором в этой версии шифровальщика выступает изображение BitCrypt.bmp, заменяющее обои на Рабочем столе. 

Содержание текста на обоях:
Your computer was infected by BitCrypt v2.0 cryptovirus.

For more information you should find txt file named Bitcrypt.txt on your Desktop.

Перевод текста на русский язык:
Ваш компьютер был заражен криптовирусом BitCrypt v2.0.

Для получения информации вы должны найти txt-файл Bitcrypt.txt на рабочем столе.

На сайте вымогателей предлагается ввести BitCrypt ID, найденный в записке о выкупе.
После входа пользователь переходит на страницу BitCrypt, якобы принадлежащую Bitcrypt Software Inc., которая предоставляет пострадавшему инструкции по восстановлению своих данных за 0,4 BTC. 

На сайте имеется также страница FAQ, показанная ниже.



Технические детали

BitCrypt распространялся троянской программой под названием FAREIT, которая ворует другие биткоины. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Регистрирует в системе новое расширение .ccw для своего файла конфигурации.

 Исследователи сообщили, что FAREIT ищет и пытается извлечь информацию из файлов wallet.dat (Bitcoin), electrum.dat (Electrum) и .wallet (MultiBit). Эти файлы создаются и используются различными клиентскими приложениями Bitcoin.

 Завершает следующие процессы, если они находятся в памяти затронутой системы: 
taskmgr.exe
regedit.exe

➤ Вносит изменения в реестр Windows:
- Прописывается в Автозагрузку системы. 
- Удаляет следующие ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

 Запрашивает значение ключа реестра, который содержит значение географического местонахождения ПК:
HKEY_CURRENT_USER\Control Panel\International\Geo\Nation
Это значение затем используется как часть идентификатора Bitcrypt ID.

 Выполняет следующие деструктивные команды:
cmd.exe / K bcdedit / set {bootmgr} displaybootmenu no
cmd.exe / K bcdedit / set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
.abw, .arj, .asm, .bpg, .cdr, .cdt, .cdx, .cer, .css, .dbf, .dbt, .dbx, .dfm, .djv, .djvu, .doc, .docm, .docx, .dpk, .dpr, .frm, .gz, .jpeg, .jpg, .js, .key, .lzh, .lzo, .mdb, .mde, .odc, .pab, .pas, .pdf, .pgp, .php, .pps, .ppt, .pst, .rtf, .sql, .text, .txt, .vbp, .vsd, .wri, .xfm, .xl, .xlc, .xlk, .xls, .xlsm, .xlsx, .xlw, .xsf, .xsn (56 расширений).
Это документы MS Office и Visio, PDF, текстовые файлы, базы данных, изображения, файлы иных программ и пр.

Файлы, связанные с этим Ransomware:
win.exe - файл, загружаемый с вредоносного сайта
<random>.exe - случайное название
bitcrypt.ccw - файл конфигурации
BitCrypt.txt - записка о выкупе
BitCrypt.bmp - изображение на обои

Расположения:
%Application Data%\bitcrypt.ccw
%Application Data%\BitCrypt.txt
%Application Data%\BitCrypt.bmp
\Folders with user's encrypted files\BitCrypt.txt
%AppData%\<random>.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ccw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ccw\OpenWithList
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts   .ccw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bitcomint = "%AppData%\<random>.exe" (удаляется после успешного шифрования файлов)
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://www.bitcrypt.info***
xxxx://kphijmuo2x5expag.onion***
xxxx://kphijmuo2x5expag.tor2web.com***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя на момент распространения.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BitCrypt, BitCrypt 2.0)
 Write-up, Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Trend Micro
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 7 марта 2014 г.

BitCrypt

BitCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-426 + AES, а затем требует выкуп в # BTC (биткоины), чтобы вернуть файлы. Оригинальные названия: Bitcrypt и BitCrypt (указано в записке). На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: BitCrypt > BitCrypt 2.0

К зашифрованным файлам добавляется расширение .bitcrypt

Активность этого крипто-вымогателя пришлась на вторую половину февраля - начало марта 2014 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: BitCrypt.txt
Содержание записки о выкупе:
Attention! ! !
Your BitCrypt ID:
DRU-217-439xxx
All necessary files on your PC ( photos, documents, data bases and other) were encoded with a unique RSA-1024 key.
Decoding of your files is only possible by a special programm that is unique for each BitCrypt ID.
Specialists from computer repair services and anti-virus labs won't be able to help you.
In order to receive the program decryptor you need to follow this link xxxx://www.bitcrypt.info and read the instructions.
If current link doesn't work but you need to restore files please follow the directions:
1. Try to open link kphijmuo2x5expag.tor2web.com. If you failed proceed to step 2.
2. Download and install tor browser xxxx://www.torproiect.org/projects/torbrowser.html
3. After installation, start tor browser and put in tne following address kphijmuo2x5expag.onion
Remember, the faster you act the more chances to recover your files undamaged.

Перевод записки на русский язык:
Внимание! ! !
Ваш BitCrypt ID:
DRU-217-439xxx
Все нужные файлы на вашем ПК (фото, документы, базы данных и другие) были зашифрованы с уникальным ключом RSA-1024.
Дешифрование ваших файлов возможно только с помощью специальной программы, которая уникальна для каждого BitCrypt ID.
Специалисты из служб ремонта компьютеров и антивирусных лабораторий не смогут вам помочь.
Чтобы получить дешифратор программы, вам необходимо следовать этой ссылке xxxx://www.bitcrypt.info и прочитать инструкции.
Если текущая ссылка не работает, но вам необходимо восстановить файлы, следуйте инструкциям:
1. Попробуйте открыть ссылку kphijmuo2x5expag.tor2web.com. Если вы не перешли к шагу 2.
2. Загрузите и установите браузер браузера xxxx://www.torproiect.org/projects/torbrowser.html.
3. После установки запустите браузер браузера и введите следующий адрес: kphijmuo2x5expag.onion
Помните, чем быстрее вы действуете, тем больше шансов восстановить неповрежденные файлы.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Регистрирует в системе новое расширение .ccw для своего файла конфигурации. 

 Завершает следующие процессы, если они находятся в памяти затронутой системы:
taskmgr.exe
regedit.exe

➤ Вносит изменения в реестр Windows:
- Прописывается в Автозагрузку системы. 
- Удаляет следующие ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

 Запрашивает значение ключа реестра, который содержит значение географического местонахождения ПК:
HKEY_CURRENT_USER\Control Panel\International\Geo\Nation

Это значение затем используется как часть идентификатора Bitcrypt ID.

 Выполняет следующие деструктивные команды:
cmd.exe / K bcdedit / set {bootmgr} displaybootmenu no
cmd.exe / K bcdedit / set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
.abw, .arj, .asm, .bpg, .cdr, .cdt, .cdx, .cer, .css, .dbf, .dbt, .dbx, .dfm, .djv, .djvu, .doc, .docm, .docx, .dpk, .dpr, .frm, .jpeg, .jpg, .key, .lzh, .lzo, .mdb, .mde, .odc, .pab, .pas, .pdf, .pgp, .php, .pps, .ppt, .pst, .rtf, .sql, .text, .txt, .vbp, .vsd, .wri, .xfm, .xlc, .xlk, .xls, .xlsm, .xlsx, .xlw, .xsf, .xsn (53 расширения).
Это документы MS Office и Visio, PDF, текстовые файлы, базы данных, изображения, файлы иных программ и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
bitcrypt.ccw - файл конфигурации
BitCrypt.txt - записка о выкупе

Расположения:
%Application Data%\bitcrypt.ccw
%Application Data%\BitCrypt.txt
\Folders with user's encrypted files\BitCrypt.txt
%AppData%\<random>.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ccw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ccw\OpenWithList
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts   .ccw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Bitcomint = "%Application Data%\{random}.exe"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://www.bitcrypt.info***
xxxx://kphijmuo2x5expag.onion***
xxxx://kphijmuo2x5expag.tor2web.com***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая на момент распространения.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


См. статью BitCrypt 2.0 Ransomware



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Инструкция есть по этой ссылке >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BitCrypt, BitCrypt 2.0)
 Write-up, Write-up, Write-up, Topic of Support
 * 
 Thanks: 
 Fabien Perigaud, Cedric Pernet
 Trend Micro
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton