четверг, 31 марта 2016 г.

Способы защиты

10 способов защиты от шифровальщиков-вымогателей

10 правильных способов защиты от крипто-вымогателей


БЭКАП
1. Регулярное резервное копирование ценных данных по методу 3-2-1.
2. Корректировка резервных копий согласно времени их создания.

ЗАЩИТА
3. Использование коммерческой ежегодно продлеваемой антивирусной программы.
4. Изучение работы и настройка в ней автоматического резервного копирования.

ПОЧТА
5. Использование функции Антиспам в почтовой программе или почтовом сервере.
6. Изучение информации по основным угрозам, исходящим от электронной почты.

СЕМЬЯ
7. Изучение и понимание рисков, связанных с использованием сети Интернет.
8. Изучение информации по шифровальщикам и другим блокировщикам компьютера. 

ВЫКУП
9. При столкновении с программами-вымогателями не паникуйте прежде времени.
10. Шифрование с целью выкупа — это преступление, его можно и нужно пресечь.

Не самая полезная привычка пользователей ПК — это накопление информации и различного мусора. Фотографии хранятся гигабайтами, видео терабайтами. Вместо того, чтобы выбрать лучшие и сохранять их на отдельном внешнем накопителе, который лежит большее время на полке в шкафу и не доступен для вирусов. Нужно соблюдать порядок на своём ПК — не разбрасывать информацию и не хранить её гигабайтами или терабайтами, тогда и атака вымогателей будет не страшна. 

А теперь более подробно по каждому пункту... 

БЭКАП
1. Регулярное резервное копирование ценных данных по методу 3-2-1.
Правило "3-2-1" заключается в следующем: создать 3 резервные копии на 2-х различных носителях и 1-м хранимом в отдельном месте. Так можно лишить вымогателей козырной карты и вернуть свои файлы с минимальными потерями (переустановка системы за небольшую денежную трату на услуги айтишника). Это гораздо дешевле суммы, что хотят вымогатели. Смотрите в конвертере эквиваленты 1 BTC. 

2. Корректировка резервных копий согласно времени их создания.
Корректировка заключается в следующем: сначала надо упорядочить файлы по категориям (документы, фотографии, музыка, видео, другие важные файлы), а потом поддерживать их по временным датам (важное событие, месяц, год и пр.) и проверять целостность. Упорядоченная информация гораздо ценнее "творческого беспорядка", на восстановление которого бесполезно и бессмысленно тратить время. 

ЗАЩИТА
3. Использование коммерческой ежегодно продлеваемой антивирусной программы.
Давно пора всем отказаться от использования Free-антивирусов, как поставщиков ложного чувства защищённости. Но антивирусные компании, желая привлечь больше пользователей на свою сторону ради высокого рейтинга, продолжают проталкивать их всеми способами. Коммерческие продукты имеют более актуальный защитный функционал, способный защитить от большинства шифровальщиков. 

4. Изучение работы и настройка в ней автоматического резервного копирования. 

Это ещё один аргумент в пользу коммерческой ежегодно продлеваемой антивирусной программы, у которой имеется функционал автоматического резервного копирования (бэкапа). Он также может называться защитой данных от повреждения и удаления. Вопреки убеждениям пользователей, настройка этого функционала заключается только в выборе нескольких опций и места хранения файлов.

Где её взять? Хотите попробовать, прежде, чем купить? 
Обратитесь за помощью в Клуб Симантек
Узнаете, как установить Norton Internet Security или Norton 360, получить ключ и быть под защитой одного из лучших антивирусных решений с мировым именем. В Norton 360 есть функционал бэкапа и файлы будут под защитой и их резервные копии на своём месте. 

ПОЧТА
5. Использование функции Антиспам в почтовой программе или почтовом сервере.
Сегодня функция Антиспам имеется у большинства почтовых серверов (yandex.ru, mail.ru и пр.), которая, как и антивирусная проверка вложений, предоставляются бесплатно. Но пользователь может ему немного помочь и самостоятельно отмечать как спам подозрительные и незапрошенные им самим входящие сообщения. Почтовые программы имеют свои настройки, разобраться с которыми нетрудно. 

6. Изучение информации по основным угрозам, исходящим от электронной почты.
Многие коммерческие антивирусные программы имеют функционал защиты электронной почты, это еще один плюс в их пользу. Но без элементарных знаний об email-угрозах, все их усилия сведутся к нулю, если пользователь, например, откроет хоть одно вредоносное email-вложение, без его предварительного сохранения в специально отведённой для этого дела папке и без проверки его антивирусом.

СЕМЬЯ
7. Изучение и понимание рисков, связанных с использованием сети Интернет.
Антивирусные и ИБ-компании регулярно публикуют аналитические обзоры и исследования вредоносных программ и методов, с помощью которых совершаются онлайн-преступления: распространение вредоносов и спама, хакерские атаки и взлом, фишинг и хищение данных, шифрование информации, социальные преступления, перенесённые в Интернет и пр. Читайте ресурсы по информационной безопасности. 

8. Изучение информации по шифровальщикам и другим блокировщикам компьютера. 
Для этого дела прекрасно подойдёт этот блог, в котором регулярно публикуется новейшая информация и обновления по различным шифровальщикам-вымогателям, блокировщикам-вымогателям, вообще не использующим шифрование, а также по фейк-шифровальщикам, которые не шифруют файлы, но используют похожие методы запугивания своих жертв, чтобы заставить их поскорее выплатить выкуп.

ВЫКУП
9. При столкновении с программами-вымогателями не паникуйте прежде времени.
Пострадавшим не нужно паниковать, потому что, как сказано выше, не все вымогатели в реале используют шифрование, не у всех оно криптостойкое, не у всех алгоритм шифрования безупречен, зачастую в алгоритме и в самой вредоносной программе имеются ошибки, позволяющие специалистам по шифровальщикам создать программу для дешифровки / разблокировке файлов. 

10. Шифрование с целью выкупа — это преступление, его можно и нужно пресечь. 
Важно знать, что вымогательство с требованием выкупа за заблокированные (зашифрованные) файлы является уголовно наказуемым преступлением и разбираться с преступниками должны правоохранительные органы. По всем фактам такого вымогательства, произошедшего с российскими гражданами или предприятиями, нужно НЕМЕДЛЕННО обращаться в местное Управление "К" МВД России или территориальный орган МВД России. 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее о заявлении и его содержании >>

ВНИМАНИЕ! Вам не надо никуда далеко идти в поисках информации по атаковавшему вас шифровальщику, т.к. она есть на этом сайте. Если затрудняетесь найти, напишите мне в форму обратной связи (см. ниже статьи) и получите ответ. 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoHasYou

CryptoHasYou Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные с помощью алгоритма  AES-256 с RSA-2048 ключом, а затем требует $300 USD, чтобы вернуть файлы обратно. Через три дня после заражения и каждые сутки потом оплата поднимается на $150. К зашифрованным файлам добавляется расширение .enc

  Название крипто-вымогателя произошло от слова .Cryptohasyou, которое скрывает фразу "Crypto_has_you" (Крипто_имел_вас). Видимо, начальная версия крипто-вымогателя должна была использовать расширение .Cryptohasyou, но потом его заменили.    

  Записка о выкупе называется YOUR_FILES_ARE_LOCKED.txt 
Записка о выкупе, TXT-версия

Записка о выкупе, BMP-версия

  Содержание записки о выкупе:
READ THIS. IT IS VERY IMPORTANT.
Hello, Unfortunately for you, a virus has found its way onto your computer. The virus has encrypted all of the files that exist on this computer (pictures, 
documents, spreadsheets, videos, etc.). There is no way to restore the files back to their original forms without the unique decryption programs.
Fortunately, we can help. We have your unique decryption program. If you value your locked files and want to restore them, we can provide you with 
the decryption program and any assistance you need for the price of $300.
Want us to fix all of your files? Have a question? Want to send us a complaint(or compliment)?
Contact us! Our email is locked@vistomail.com
We will get back to you with haste.
If you want proof that we can decrypt your files, send us a single encrypted file in an email and we will return it to you fixed and in original condition!
You must respond to this in a timely fashion if you want your original files back.
The initial price of our service is $300. For every 3 days that pass, the price of our service will raise by an additional $150. We will know how long it 
has been. Remember, we are your only option. If you consult an IT expert, they will tell you the same thing.
Cheers.
Additional Details: (for IT People)
[+] It is impossible to recover the original files without our help.
[+] Encryption scheme: aes256(filesystem, aes_key) -> rsa2048(aes_key, public key)
-In other words, the private_key is required to decrypt the filesystem
[+] During filesystem encryption, all affected files had the original data overwritten with the encrypted data several times over to prevent recovery.
[+] If the extention of an encrypted file is not “.enc” when the decryption program is run, it will not be decrypted.
[+] Do not shut down or restart your computer while filesystem decryption occurs
FOR FILE DECRYPTION CONTACT US: locked@vistomail.com
You will need to provide the following data to us along with a payment in order to decrypt your files:
< DATA >
{уникальный ID-номер с буквами и цифрами}

 Список файловых расширений, подвергающихся шифрованию:
Криптовымогатель шифрует ВСЕ файлы, за исключением имеющих расширения: .bat, .bin, .blf, .cat, .cdf-ms, .cdfs, .cmd, .com, .conf, .cpl, .dat, .dev, .dll, .dmp, .drv, .enc, .etl, .evt, .evtx, .exe, .folder, .gadget, .gpd, .grp, .idx, .inf, .ini, .ins, .inx, .isu, .job, .jse, .key, .lib, .lnk, .lock, .man, .manifest, .mark, .mci, .mdmp, .msc, .msi, .msn, .msp, .mst, .mui, .my, .nls, .ocx, .osc, .paf, .pdb, .pif, .reg, .rgu, .scr, .sct, .sfc, .sfcache, .shb, .shs, .shs, .sif, .sys, .vbe, .vbs, .vbscript, .vtd, .wsf (70 расширений) и файла .bmp со случайным именем (в этом примере это c35312fb3a.bmp), которые ему нужны. 

По завершении шифрования могут быть зашифрованы и файлы оставшихся типов. Это делает крипто-вымогатель буквально всеядным. 

Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_LOCKED.txt - Записка о выкупе, создается во всех папках с зашифрованными файлами;
C:\Users\W7_MMD\AppData\Local\Roaming\c35312fb3a.bmp - экран блокировки, встает в качестве обоев Рабочего стола, файл со случайным именем;
C:\Users\W7_MMD\AppData\Local\Temp\dejqmavb.bat - bat-файл для зачистки следов вымогателя в системе, файл со случайным именем. 


Степень распространённости: средняя. 
Подробные сведения собираются.

Ссылки:
Тема поддержки на BC

Профилактика угрозы

Профилактика угрозы и защита бизнеса



Защитите себя и свою организацию!


  Я очень надеюсь, что этот сайт, статьи, руководства, инструкции и вся справочная информация, которую вы здесь найдёте, спасёт множество организаций, семей и лиц от неприятностей, связанных с угрозой вымогательства и уплатой выкупа, и научит их защищаться. 

  Не откладывайте всё на потом, начните с себя прямо сейчас! 

...Лечебные учреждения, учебные заведения, государственные и местные органы власти, транспортные компании, правоохранительные органы, предприятия малого и среднего бизнеса, крупные предприятия — это лишь некоторые из субъектов, пострадавших от крипто-вымогателей — коварных вредоносных программ, которые шифруют или блокируют ценные цифровые файлы и требуют немалый выкуп за их частичное или полное возвращение.

  Невозможность получить доступ к важной информации для организаций может иметь катастрофические последствия, например, если говорить об утрате конфиденциальной или служебной информации, о нарушении непрерывного производственного процесса, финансовых потерях, понесённых при восстановлении системы и файлов, и о пострадавшей репутации организации.

  Домашние компьютеры, разумеется, также восприимчивы к атаке крипто-вымогателей, т.к. потеря доступа к личным и бесценным цифровым данным, в том числе семейным фотографиям, видео, документам и другим данным, может стать невосполнимой для физических лиц, привести к личной драме, стать причиной семейных скандалом, разлуке с близкими и пр. пр. пр. 

  Угроза программ-вымогателей существует уже нескольких лет, но в 2015 году антивирусными компаниями и правоохранительными органами был отмечен рост кибер-атак этого вида, особенно в отношении организаций, т.к. там и цены выкупа выше, и выплаты чаще. Первые три месяца 2016 года указывают на то, что число вымогательских инцидентов и последующий ущерб, который они вызывают, будут продолжать расти в текущем и будущем годах, если отдельные лица и организации не подготовятся к этим нападениям заранее.

  Пример атаки вымогателя: жертва, получив email-письмо, адресованное ей, открывает его и бездумно кликает вложение, которое кажется неопасным, например, присланное фото, счет-фактура, решение суда или электронный факс, но на самом деле содержит вредоносный код вымогателя. Или пришедшее электронное письмо может содержать легитимного вида URL-адрес, но когда жертва бездумно кликает на него, то мигом перенаправляется на веб-сайт, который заражает компьютер вредоносным кодом, эксплуатируя уязвимости в программном обеспечении и защите.

  Инфицировав компьютер, вредоносная программа начинает шифрование файлов и папок на локальных дисках, подключенных внешних дисках, дисках резервного копирования, а также на других компьютерах в той же сети, присоединенных к ПК жертвы. Пользователи и организации, как правило, не знают, что они инфицированы, пока не поймут, что не могут получить доступ к своим данным или пока не увидят вымогательских сообщений, в которых сообщается о том, что файлы были зашифрованы (заблокированы, скрыты) и описываются требования на уплату выкупа в обмен на ключ дешифрования. В них также есть инструкции о том, как заплатить выкуп, как правило, в Bitcoin — виртуальной криптовалюте, предоставляющей анонимный обмен и выплаты.

  Атаки вымогателей от банально известных, становятся все более изощренными. Несколько лет назад, программы-вымогатели обычно доставлялись только через email-спам, но потом системы email-защиты стали лучше фильтровать спам, и кибер-преступники обратились к email-фишингу, ставшему не только целенаправленным, но индивидуально подстраиваемым. Так кроме банального фишинга, используется таргет-фишинг, копьё-фишинг, уэйлинг... Ежедневно появляются новые виды. 

  Новые инциденты показывают, что некоторые кибер-преступники вообще не используют электронную почту. Помощник директора киберподразделения ФБР Джеймс Трейнор сообщает: "Методы киберпреступников совершенствовались и теперь им не нужно принуждать человека нажимать на ссылку в письме. Они делают это путем инфицирования легитимных сайтов вредоносным кодом, воспользовавшись неисправленными уязвимостями в программном обеспечении ПК конечных пользователей".

  Важно помнить, что все варианты вымогателей представляют угрозу для индивидуальных пользователей, организаций и предприятий. Немало вариантов ориентированы на атаку уязвимых серверов, чтобы одновременно причинить вред данным на сервере, веб-хостинге, всем расположенным на них веб-сайтам и подключенным пользователям. Большой объём данным и длительное время восстановления порой вызывает у вымогателей искушение — после уплаты выкупа, не выдавать все ключи дешифрования, не предоставлять доступ ко всем файлам, а потребовать ещё больше денег, двойную или тройную оплату. 


Платить или не платить? 


  ФБР сегодня категорически против уплаты выкупа вымогателям. Трейнор продолжает: "Уплата выкупа не гарантирует организациям возвращение доступа к утраченным данным. Нам известны случаи, когда организации не получали ключ дешифрования даже после того, как платили выкуп. Каждый оплаченный выкуп стимулирует кибер-преступников к будущим атакам на организаций, является примером легкой наживы для других преступников, толкая их к незаконной деятельности. И, наконец, заплатив выкуп, организация непреднамеренно финансирует другую незаконную деятельность киберпреступников".

  Так что же ФБР рекомендует? По мере развития методов вымогателей продолжают развиваться и вредоносные программы, и становится всё труднее обнаруживать вымогателей. Пока не стало слишком поздно, организациям, в частности, следует сосредоточить внимание на двух основных направлениях:
- проводить профилактику, обучать и информировать персонал о вымогателях и надежных технических средствах контроля;
- разработать и утвердить план обеспечения непрерывности процесса работы организации в случае атаки вымогателей (см. далее "Советы..." для дополнительной информации).

— Нет ни одного метода или инструмента, который бы гарантированно защитил вас или вашу организацию от атаки вымогателей, — сказал Трейнор. — Но готовность к непредвиденным обстоятельствам и планирование реабилитации имеют решающее значение для восстановления бизнеса и его непрерывности, поэтому указанные мероприятия должны проводиться на регулярной основе. — В то же время, по словам Трейнора, ФБР будет продолжать работать со своими местными, федеральными, международными и частными партнёрами в целях усиления борьбы с вымогателями и другими угрозами.


Советы ФБР по борьбе с вымогателями


  ФБР рекомендует предприятиям, организациям и пользователям рассмотреть возможность осуществления следующих мер профилактики угрозы, защиты бизнеса и обеспечения его непрерывности, чтобы уменьшить риск успешной атаки вымогателей.  Хотя данные советы предназначены в первую очередь для предприятий, организаций и их сотрудников, некоторые из них подойдут и персональным пользователям.

Меры профилактики угрозы

- Убедитесь, что все сотрудники информированы о вымогателях и понимают всю важность защиты данных организации.
- Убедитесь, что ОС, ПО и прошивки на всех компьютерах и устройствах обновляются с помощью централизованной системы управления исправлениями.
- Убедитесь, что решения по обеспечению защиты от вирусов и вредоносных программ установлены и актуальны на всех компьютерах.
- Убедитесь, что на всех компьютерах учётные записи администратора используются только при крайней необходимости.
- Убедитесь, что на всех компьютерах настроен контроль доступа, в том числе к файлам, каталогам и общим сетевым папкам. 
- Убедитесь, что пользователи, которым нужно только читать конкретную информацию, не имеют прав на внесение изменений в этих файлах.
- Убедитесь, что на всех компьютерах отключены макросы и уведомления об их включении в офисных файлах, передаваемых и получаемых по email.
- Убедитесь, что на всех компьютерах внедрены политики ограниченного использования программ или других элементов управления для предотвращения выполнения программ-вымогателей из общих мест. Это касается временных папок, с которыми работают популярные интернет-браузеры и архиваторы.

Обеспечение защиты бизнеса

- Делайте регулярное резервное копирование данных и регулярную проверку целостности этих резервных копий.
- Защитите резервные копии и убедитесь, что они не подключены к компьютерам и сетям хранения баз данных.
- Критически относитесь к ссылкам в email-сообщениях и не открывайте вложения от неизвестных отправителей.
- Загружайте программное обеспечение, особенно бесплатное (Free), только с официальных и доверенных сайтов. 
- Проверяйте до запуска, если возможно, целостность программного обеспечения с помощью цифровой подписи.
- Обновляйте операционную систему, свои программы, прошивки, включая Adobe Flash, Java, веб-браузеры и пр.
- Настройте антивирусные и другие защитные программы на автоматическое обновление и регулярные проверки ПК.
- Отключите макросы для получаемых по email файлов. Используйте Office Viewer для открытия файлов MS Office.
- Создайте ограничения на выполнение программ и элементов управления, активнее внедряйте проактивную защиту. 

Сообщения об атаках вымогателей

  ФБР призывает пострадавших сообщать обо всех инцидентах, связанными с вымогателями, федеральным правоохранительным органам, независимо от результата атаки, чтобы составить более полное представление о текущей угрозе и её воздействии на пострадавших.

Для этого следует указать следующую информацию:
1. Дату инфицирования ПК (может быть также установлена по отчётам Windows).
2. Информацию о варианте вымогателя (записка о выкупе, используемое расширение).
3. Информация о компании-жертве (какое предприятие, организация, размер бизнеса).
4. Как произошло заражение (ссылка или вложение в email, работа в Интернете и пр.).
5. Запрошенная вымогателями сумма выкупа (указывается в записке или на сайте оплаты).
6. Адрес Bitcoin-кошелька вымогателей (указывается в записке или на сайте оплаты).
7. Выплаченная вымогателям сумма выкупа (если выкуп вымогателям был выплачен).
8. Общие потери, связанные с вымогательской инфекцией, включая сумму выкупа.
9. Официальный отчёт о причинённом ущербе, включая заявления от пострадавших.

👉 Сравните информацию, сообщаемую в федеральные органы США, с онлайн-заявлением в Управление "К" МВД России. 


Как помогают собранные данные?

1. Отчётность по преступлениям даёт правоохранительным органам более точную картину о методах нападавших, чтобы они могли попытаться отслеживать и в конечном итоге сорвать их планы.
2. Криминальные сводки помогают правоохранительным органам оценить масштаб проблемы, чтобы выделить ресурсы и обеспечить необходимое финансирование со стороны законодателей или других политиков.
3. Накопление разведывательных данных о киберпреступности помогает следователям лучше коррелировать деятельность их банд, помогая разоблачать и преследовать лиц, участвующих в атаках. 
4. ФБР ранее отмечал, что "значительная часть инфраструктуры, используемая злоумышленниками, размещается за рубежом", и что бюро часто работает с международными правоохранительными органами.


 Read to links: 
 FBI: Incidents of Ransomware on the Rise (апрель 2016)
 FBI urges victims to report ransomware incidents (сент. 2016)
 ID-Ransomware.RU

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 30 марта 2016 г.

KimcilWare

KimcilWare Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные веб-сайтов с помощью алгоритма Rijndael (AES), а затем требует выкуп в пределах от $ 140 до $ 415 (в зависимости от версии, которой сайт был заражен), чтобы вернуть файлы. Название оригинальное. Активность пришлась на март 2016 г., но известные более ранние атаки, например в феврале этого года. Разработчик: MAFIA MALWARE INDONESIA, хакерская группировка из Индонезии.

© Генеалогия: Hidden Tear modified >> MafiaWareKimcilWare



За этим крипто-вымогателем стоит одна из индонезийских хакерских группировок, специализирующаяся на взломе веб-сайтов по всему миру. Выявлена связь с другим вымогательским ПО этой группировки — MireWare

Этимология слов, использованных вымогателями:
kimcil - индонез. одно из названий проститутки
tuyuljahat (Tuyul Jahat) - индонезназвание злого духа, вымогающего деньги. 

Известны две версии сценариев для шифрования сайтов. Один скрипт шифрует все данные на веб-сайте, добавляет расширение .kimcilware к зашифрованным файлам, заменяет index-страницу сайта на свой файл index.html (см. ниже), и требует выкуп в размере 140 долларов США. 

Пример содержимого веб-папки с зашифрованными с помощью сценария KimcilWare см. ниже.

Другой скрипт добавляет расширение .locked к зашифрованным файлам, но не заменяет index-страницу сайта на записку с требованием выкупа. Вместо этого он создаёт в каждой папке, в которой были зашифрованы файлы, записку о выкупе под именем README_FOR_UNLOCK.txt, содержащую инструкции для оплаты выкупа в 1 биткоин или 415 долларов США.

Содержание записки README_FOR_UNLOCK.txt:
ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files.
Pay to This BTC Address: *****
Contact tuyuljahat@hotmail.com after you send me a BTC. Just inform me your website url and your Bitcoin Address.
I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.
Hope you enjoy

Перевод на русский язык:
ВСЕ ФАЙЛЫ ВАШЕГО ВЕБ-СЕРВЕРА БЛОКИРОВАНЫ
Вы должны послать мне 1 BTC для разблокировки ваших файлов.
Платите на BTC-адрес: *****
Мыльте на tuyuljahat@hotmail.com после отправки мне BTC. Сообщите мне адрес веб-сайта и ваш Bitcoin-адрес.
Я буду проверять свой Bitcoin и если вы прислали мне BTC, то я пришлю дешифратор для разблокировки ваших файлов.
Надеюсь, вам понравится 

Активность этого криптовымогателя пришлась на март 2016 г. Ориентирован на англоязычных пользователей, что не мешает использовать его по всему миру.

KimcilWare направлено на веб-сайты, основанные на системе управления интернет-магазинами Magento. Возможно, заражению способствует установка пока ещё легитимных расширений для CMS Magento. Одно из них, Helios Vimeo Video Gallery (от Helios Solutions), уже помечено как опасное. Но не исключается вероятность программной прокладки-заготовки в самом Magento, как и во всех других CMS.

Владельцы интернет-магазинов, работающих на Magento, должны использовать сильные пароли для учётных записей администратора, и как можно скорее обновить систему управления сайтом до последней версии Magento, или установить все доступные патчи для используемой версии.

KimcilWare устанавливается после взлома веб-сервера. При желании злоумышленники могут распространять его с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
Все файлы и папки, находящиеся в директории веб-сайта, некоторые даже по 2 раза. 

Файлы, связанные с KimcilWare Ransomware:
README_FOR_UNLOCK.txt

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC
 ID Ransomware
 Fortinet blog
 *
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 *
 

Policy of Use

Политика использования информации (Policy of Use)


Блоги "Шифровальщики-вымогатели" (ШВ), "Дешифровщики файлов" (ДФ), "Проект Anti-Ransomware" (AR) — это свободные проекты, независимые от антивирусных компаний. Информация на этом блоге-сайте защищена авторским правом.

Информация об авторских правах:
© Шифровальщики-вымогатели, автор и администратор: Amigo-A (Андрей Иванов / Andrew Ivanov), 2016
© Дешифровщики файлов, автор и администратор: Amigo-A (Андрей Иванов / Andrew Ivanov), 2016
© Проект Anti-Ransomware, автор и администратор: Amigo-A (Андрей Иванов / Andrew Ivanov), 2016

Информацию блогов ШВ, ДФ, AR допускается использовать следующими способами: 
– читать и распространять информацию о блоге, как источнике полезной ифнормации;
– находить, изучать и присылать мне новую информацию для обобщения и публикации;
– общаться с другими людьми, включая форму для ответов и комментариев, ЛС и email;
– приобретать опыт и делиться своими знаниями и навыками с автором и собеседниками.

Я учитываю все пожелания, комментарии, чтобы сделать блоги лучше, полезнее и информативней. 
Это способствует общению, позволяет легко и быстро делиться информацией с другими участниками. 
В конце каждой статьи есть ссылки на источники, статьи, результаты анализов и прочее. Сверяйтесь.  

При любой републикации материалов из вышеназванных блогов следует использовать правило: 
а) активная ссылка на блог + название блога, автор блога; 
б) или активная ссылка на блог + название блога; 
в) или активная ссылка на блог + автор блога. 

Ссылки на мои блоги, полученные при их регистрации: 

1. Блог "Шифровальщики-вымогатели"
https://id-ransomware.blogspot.ru
http://id-ransomware.blogspot.ru
https://id-ransomware.blogspot.com
http://id-ransomware.blogspot.com
Баннер 468x60:


2. Блог "Дешифровщики файлов"
https://decryptors.blogspot.ru
http://decryptors.blogspot.ru
https://decryptors.blogspot.com
http://decryptors.blogspot.com
Баннер 468x60:


3. Проект "Anti-Ransomware"
https://anti-ransomware.blogspot.ru
http://anti-ransomware.blogspot.ru
https://anti-ransomware.blogspot.com
http://anti-ransomware.blogspot.com
Баннер 468x60:



Соглашение 
по использованию информации блогов
 "Шифровальщики-вымогатели", Дешифровщики файлов", 
"Проект Anti-Ransomware"

Не знание и игнорирование этого соглашения не снимает ответственности!

Разрешается свободно ссылаться на блог, его автора и информацию, находящуюся на страницах блога, при соблюдении следующих положений и условий. 

Любой веб-сайт (форум, блог, ЖЖ и пр.), ссылающийся на блог-сайт ("Шифровальщики-вымогатели", "Дешифровщики файлов", "Проект Anti-Ransomware"):
– соглашается соблюдать все пункты данного соглашения по использованию, описанные ниже и волен выбрать любой из блогов;
– может свободно изучать все материалы блогов, в том числе архивные; 
– может свободно ссылаться на материалы блога, но не копировать их в полном объеме (не больше 30%), не искажать содержание и суть;
– не должен сообщать вводящую в заблуждение или ложную информацию о блоге, его авторе, читателях и подписчиках;
– не должен искажать взаимосвязь блога-сайта и деловых партнёров автора-администратора, в том числе в прошлом;
– не должен провоцировать своих пользователей на конфликт с автором блога, его читателями и подписчиками;
– не должен использовать материалы блога, чтобы негативно влиять на отношение своих пользователей к блогу, автору, читателям;
– не должен публиковать у себя на сайте (форуме, блоге, ЖЖ и пр.) материалы из блога рядом с темами непристойного содержания;
– не должен использовать логотипы, элементы содержания или оформления блога без письменного разрешения автора;
– должен быть согласен по первому требованию автора блога внести соответствующую корректировку в публикацию.

Любой веб-сайт, соблюдающий все пункты данного соглашения по использованию:
– может заочно считать себя реферальным партнёром блогов "Шифровальщики-вымогатели" или "Дешифровщики файлов", или "Проект Anti-Ransomware";
– может вступить в деловые (партнёрские) отношения с автором для преимуществ публикации. 

Любой веб-сайт, частное лицо, не соблюдающие все пункты данного соглашения:
– не имеет права любыми способами и в любом виде пользоваться материалами или любым другим содержимым вышеназванных блогов;
– не должен из-за этого распространять в Интернет и частной беседе заведомо искажённую и ложную информацию о блоге, его авторе, читателях, подписчиках, участниках беседы в комментариях. 

Дата последнего изменения: 18 ноября 2016 г.

Список сайтов очно-заочных партнёров и рефералов блога "Шифровальщики-вымогатели":
http://www.bleepingcomputer.com/ 
http://club-symantec.ru/ 
http://safezone.cc/ 
http://decryptors.blogspot.ru/ 
http://anti-ransomware.blogspot.ru/
...
Добавляйтесь!
Список сайтов-нарушителей авторского права блога и его автора:
...Я знаю несколько таких иностранных сайтов, регулярно использующих информацию, без ссылки на блог и автора, но пока не публикую их адреса... 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 29 марта 2016 г.

MireWare

MireWare Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы обратно. Разработчик: MAFIA MALWARE INDONESIA, хакерская группировка из Индонезии. См. также KimcilWare

К зашифрованным данным добавляются расширения .bleeped, .fucked, .fuck 

© Генеалогия: Hidden Tear modified >> MafiaWare > MireWare 




Записка о выкупе READ_IT.txt размещается на Рабочем столе и в корне каждого диска. 

Содержание записки о выкупе: 
Files have been encrypted
Send me some bitcoins to decrypte your files
Contact tuyuljahat@hotmail.com for more information and deal!

Перевод на русский язык:
Файлы были зашифрованы
Отправь мне биткоины, чтобы дешифровать файлы
Пишите на tuyuljahat@hotmail.com для информации и сделки!

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml

Файлы, связанные с этим Ransomware:
%UserProfile% \Desktop\READ_IT.txt
hidden-tear.exe
<random>.exe

В настоящее время C&C-серверы вымогателей отключены, потому вымогатель подключиться к серверу через HTTPS не может. Есть сведения, что вымогатели сменили сервера, переписали шифровальщики и используют для атаки пользователей другие Ransomware: KimcilWare, 8lock8 и ряд других пока малоизвестных. 

Степень распространённости: низкая.
Подробные сведения собираются. 


 Внимание!!! 
Для зашифрованных файлов есть декриптер. 

понедельник, 28 марта 2016 г.

Lortok

Lortok Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 5 долларов, чтобы вернуть файлы обратно. Ориентирован на русскоязычных пользователей. Активность этого крипто-вымогателя пришлась на январь-март 2016 г. В 2017 году были обнаружены новые случаи заражения. 

  К зашифрованным файлам добавляются расширения .crime или .<ID жертвы> или .<victim_ID>, в их числе расширения по шаблону с 8-ю случайными буквами и цифрами, т.е. .<random8>, например:
.f84cbfea
.ku2bcg3h
.3betfr5u
Примеры файлов с расширением .<random8>

  Записка с требованием выкупа называется ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt 

  Примечательно, что в 2014-2015 гг. было множество криптовымогателей с тем же названием записки и тем же текстом внутри. Различие было лишь в начале "Для этого откройте ярлык 'Онлайн консультант' (другой вариант 'Ваш консультант'), который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл", да и расширение добавлялось .AES256 или другое. Компании ЛК удалось создать декриптор для вредоносов этого типа.

Оригинальный текст записки о выкупе:
Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
СТОИМОСТЬ РАСШИФРОВКИ ФАЙЛОВ 5$
Для этого выполните следующие действия:
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке 'xxxx://3qo5aqjlesrudfm3.onion/?id=...' в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте
--------------------------------------------------------------
Для авторизации на сайте используйте:
ID: ffc75... 
HashID: 4f85fadb2...
--------------------------------------------------------------
1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.
2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.
3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.
4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.
--------------------------------------------------------------
Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов: 
1) Открыть архив можно только введя пароль
2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.
3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.
4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.
--------------------------------------------------------------
Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами!
https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard


Технические детали

  После попадания на ПК жертвы Lortok создаёт свою копию в директориях:
C:\Users\Администратор\AppData\Roaming\installdir\help.exe
C:\Users\Администратор\AppData\Roaming\update_<случайный букво-цифрокод>.exe

Файлы, связанные с этим Ransomware:
ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt
help.exe
update_{Ransom_name}.exe


Расположения:
%USERPROFILE%\AppData\Roaming\installdir\help.exe
%USERPROFILE%\AppData\Roaming\update_<random_name>.exe

Сетевые подключения и связи:
xxxx://3qo5aqjlesrudfm3.onion***
xxxx://2hscl4fwxetqdiml.onion***


Степень распространённости: средняя. 
Подробные сведения собираются регулярно.



Внимание! 
Для зашифрованных файлов есть декриптор
Скачать RakhniDecryptor для Lortok >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Lortok)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie
 Thyrex
 victim in the topics of support
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 23 марта 2016 г.

Maktub Locker

Maktub Locker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1,4 биткоинов, чтобы вернуть файлы. По прошествии времени сумма может увеличиться и достигнуть уровня 3,9 биткоинов. Название оригинальное: Maktub - по арабски: "судьба" или "предначертанное".

© Генеалогия: Начало.

К зашифрованным файлам добавляется случайное расширение: .<random>

Этот шифровальщик не только шифрует файлы, но и сжимает их так, что сжатый файл становится буквально крошечным. См. пример. 

Активность этого криптовымогателя пришлась на вторую половину марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: _DECRYPT_INFO_[random].html

Содержание текста о выкупе:
WARNING!
Your personal files are encrypted!
11:54:16
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key. The server will eliminate the key after a time period specified in this window.
Open http://qjuyyhqqzfeluxe7.onion.link
or http://qjuyyhqqzfeluxe7.torstorm.org
or http://qjuyyhqqzfeluxe7.tor2web.org
in your browser. They are public gates to the secret server.
If you have problems with gates, use direct connection:
1) Download TOR Browser from http://torproject.org
2) In the Tor Browser open the http://qjuyyhqqzfeluxe7.onion
(Note that this server is available via Tor Browser only. Retry in 1 hour if site is not reachable).
Write in the following public key in the input form on server:
*****

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ!
Ваши личные файлы зашифрованы!
11:54:16
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с сильным шифрованием и уникальным ключом, сгенерированным для этого компьютера. Секретный ключ дешифрования хранится на секретном сервере в сети Интернет, и никто не может расшифровать файлы, пока вы не заплатите и получите секретный ключ. Сервер удалит ключ после определенного периода времени, указанного в этом окне.
Откройте http://qjuyyhqqzfeluxe7.onion.link
или http://qjuyyhqqzfeluxe7.torstorm.org
или http://qjuyyhqqzfeluxe7.tor2web.org
в вашем браузере. Они являются публичными путями на секретный сервер.
Если у вас есть проблемы с ними, используйте прямое подключение:
1) Скачать Tor Browser из http://torproject.org
2) В браузере Tor открыть http://qjuyyhqqzfeluxe7.onion
(Обратите внимание, что этот сервер доступен только через Tor Browser. Повторите попытку через 1 час, если сайт недоступен).
Запишите в следующем открытый ключ в форме входа на сервер:
*****

Распространяется с помощью email-спама и вредоносных вложений (например, исполняемый файл с расширением .SCR), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Вредоносное приложение сработает при открытии вложения. Пример файла вложения — это TOS-update-2016-Marth-18.scr
Если пользователь бездумно запустит вложение, то сначала увидит документ Word (см. скриншот выше) типа "обновление условия использования", тогда как вымогатель уже начинает шифрование данных. 


По завершении шифрования файлов Maktub оставит записку с требованием выкупа _DECRYPT_INFO_[random].html

Примечательно, Tor-сайт у Maktub Locker на день написания статьи является, наверное, самым дизайнерски проработанным вымогательским сайтом. Он разделен на 5 страниц, каждая из которых имеет свою собственную художественную тему. Они могли быть созданы самими разработчиками, а логотип взят у дизайнера на Deviant Art.

Для наглядности я сделал из скриншотов пяти страниц сайта вымогателей одно анимированное изображение. 

1. Первая страница представляет собой краткое изложение того, что случилось с файлами жертвы.
2. На второй представлена процедура бесплатного дешифрования двух зашифрованных файлов жертвы.
3. На третьей показаны этапы оплаты, которые может выбрать жертва (сумма выкупа может возрасти).
4. Четвертая содержит уникальный Bitcoin-адрес, на который жертва должна перевести выкуп.
5. Пятая страница представляет стандартный способ, как и где купить биткоины.

Содержание страниц сайта с переводом на русский язык:

1. HELLO!
We're very sorry that all of your personal files have been encrypted :( But there are good news - they aren't gone, you still have the opportunity to restore them! Statistically, the lifespan of a hard-drive is anywhere from 3 to 5 years. If you don't make copies of important information, you could lose everything! Just imagine! In order to receive the program that will decrypt all of your files, you will need to pay a certain amount. But let's start with something else...

1. ПРИВЕТ!
Нам очень жаль, что все ваши личные файлы были зашифрованы :( Но есть хорошие новости - они не ушли, у вас еще есть возможность восстановить их! По статистике, продолжительность жизни жесткого диска составляет от 3 до 5 лет. Если вы не делаете копии важной информации, вы можете потерять все! Представьте! Для того, чтобы получить программу, которая будет расшифровывать все ваши файлы, вам нужно будет заплатить определенную сумму. Но давайте начнем с другого...

2. WE ARE NOT LYING! 
Googling 'MAKTUB LOCKER' will instantly bring up many sugestiong on deleting the program from your personal computer. But not one of the third party programs will be able to do the most important thing - to decrypt your files! In order to do this, you need to have the private master-key that only we have. And only we can restore all of your files. And to show that we aren't making unfounded statements, we'll prove it. Upload any encrypted file, no larger than 200kb, and we will decrypt it, absolutely free!
Files available to decrypt: 2

2. МЫ НЕ ЛЖЕМ!
Погуглите 'MAKTUB LOCKER' и мгновенно найдётся много советов по удалению программы с вашего ПК. Но ни одна из программ сторонних разработчиков не сможет сделать самое главное - расшифровать файлы! Чтобы это сделать, вам нужно иметь секретный мастер-ключ, который есть только у нас. И только мы можем восстановить все ваши файлы. И для подтверждения того, что мы не делаем необоснованных заявлений, мы это докажем. Добавьте любой зашифрованный файл не более 200 КБ, и мы его расшифруем, абсолютно бесплатно!
Файлы, доступные для расшифровки: 2

3. HOW MUCH DOES IT COST? 
We hope that you are convinced that we can decrypt all of your files. Now, the most important thing! The faster you transfer the money, the cheaper file decryption will be. At every stage of payment, you get 3 days or 72 hours. You can see the countdown in the right top comer. After the clock shows 00:00:00 you go to the next stage of payment and the price automatically increases. We only accep the electronic currency Bitcoin as a form of payment. Here is a table that shows the date of payment and the price. Your current stage is marked in yellow.

Stage Time of payment How much money should be sent
1 During the first 3 days 1.4 BTC (~$588)
2 From 3 to 6 days 1.9 BTC (~$798)
3 From 6 to 9 days 2.4 BTC (~$1008)
4 From 9 to 12 days 2.9 BTC (~$1218)
5 From 12 to 15 days 3.4 BTC (~$1428)
(*) More than 15 days 3.9 BTC (~$1638)

(*) After 15 days of no payment, we do not guarantee that we saved the key. This site can be disconnected at any moment and you will lose your data forever. Please take this seriously. 

3. СКОЛЬКО ЭТО СТОИТ?
Мы надеемся, что вы убедились в том, что мы можем расшифровать все ваши файлы. Теперь, самое главное! Чем быстрее вы переведёте деньги, тем дешевле будет дешифрование файлов. На каждом этапе оплаты вы получаете 3 дня или 72 часа. Вы можете видеть обратный отсчет времени в правом верхнем углу. После того, как часы покажут 00:00:00 вы переходите к следующему этапу оплаты и цена автоматически увеличивается. Мы принимаем только электронную валюту Bitcoin в качестве формы оплаты. Ниже приведена таблица, которая показывает дату оплаты и цены. Ваш нынешний этап отмечен жёлтым цветом.

Этап времени оплаты  Какую сумму нужно перевести
1 за первые 3 дня 1.4 BTC (~$588)
2 от 3 до 6 дней 1.9 BTC (~$798)
3 от 6 до 9 дней 2.4 BTC (~$1008)
4 от 9 to 12 дней 2.9 BTC (~$1218)
5 от 12 to 15 дней 3.4 BTC (~$1428)
6 (*) более 15 дней 3.9 BTC (~$1638)

(*) Через 15 дней без оплаты мы не можем гарантировать, что сохраним ключ. Этот сайт может быть отключен в любой момент, и вы потеряете ваши данные навсегда. Поверьте, это серьезно.

4. WHERE DO I PAY? 
The whole process of payment confirmation is automated! You won't have to wait while we manually check the status of the incoming payment. As soon as you send the money, it will only take a few hours for the system to automatically count them and create the program that will decode your files.
After sending your payment just refresh this site after a couple of hours.
You must transfer 1.4 BTC to the following address:
***

4. КАК МНЕ ОПЛАТИТЬ?
Весь процесс подтверждения оплаты автоматизирован! Вам не придется ждать, пока мы вручную проверим состояние входящего платежа. Как только вы пошлёте деньги, пройдёт всего несколько часов, система автоматически рассчитает их и создаст программу, которая будет декодировать файлы.
После отправки платежа просто обновите эту страницу через пару часов.
Вы должны передать 1.4 BTC по следующему адресу:
***

5. BITCOIN PURCHASE
If this is the first time you heard about Bitcoin, don't despair! Simply google this word and you will find all the answers. We can just recommend a few sites that will be of use to you.
Buying Bitcoins - This page aims to be the best resource for new users to understand how to buy Bitcoins
Localbitcoins (WU)  - Buy Bitcoins with Western Union
Coincafe.com - Recommended for fast, simple service. Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, In Person
LocalBitcoins.com - Service allows you to search for people in your community willing to sell bitcoins to you directly
btcdirect.eu - THE BEST FOR EUROPE
coinrnr.com - Another fast way to buy bitcoins
bitquick.co - Buy Bitcoins Instantly for Cash
How To Buy Bitcoins - An international directory of bitcoin exchanges
Cash Into Coins - Bticoin for cash
CoinJar - CoinJar allows direct bitcoin purchases on their site
ZipZap - Global cash payment network enabling consumers to pay for digital currency

5. ПОКУПКА BITCOIN 
Если это первый раз, когда вы услышали о Bitcoin, не пугайтесь! Просто гуглите это слово и вы найдете ответы на все вопросы. Мы можем порекомендовать несколько сайтов, которые будут для вас полезны.
Buying Bitcoins - Эта страница скорее всего лучший ресурс для новых пользователей, чтобы понять, как купить Bitcoins
Localbitcoins (WU)  - Купить Bitcoins с Western Union
Coincafe.com - Рекомендуется для быстрого и простого обслуживания. Способы оплаты: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, In Person
LocalBitcoins.com - Сервис позволяет искать людей в вашем сообществе, готовых вам напрямую продать Bitcoins 
btcdirect.eu - ЛУЧШИЙ ДЛЯ ЕВРОПЫ
coinrnr.com - Еще один быстрый способ купить биткойны
bitquick.co - Купить Bitcoins мгновенно за наличные
How To Buy Bitcoins - международный каталог Bitcoin бирж
Cash Into Coins - Bticoin за наличные
CoinJar - CoinJar позволяет прямые покупки Bitcoin на своем сайте
ZipZap - Глобальная сеть оплаты наличными, позволяет потребителям платить за электронную валюту

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр. 

Не подвергаются шифрованию следующие папки с файлами:
\Internet Explorer\
\History\
\Mozilla\
\Chrome\
\Temp\
\Program files\
\Program files (x86)\
\Microsoft\
\Chache\
\Chaches\
\Appdata\

Файлы, связанные с этим Ransomware:
TOS-update-2016-Marth-18.scr
_DECRYPT_INFO_[random].html
<random>.exe
%TEMP%\cupydupy.cab

%TEMP%\<random>.rtf

Записи реестра, связанные с этим Ransomware:
См. результаты анализов. 

Сетевые подключения:
qunpack.ahteam.org
bs7aygotd2rnjl4o.onion.link

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 17 декабря 2016
Пост в Твиттере >>
Файл: ChartFewer.exe 
Фальш-имя: ChartFewer, Bitdefender
Записка: _DECRYPT_INFO_wypt.html
Расширение: .wypt
Результаты анализов: VT

Обновление от 22 марта 2017:
Файлы: 
invoice-03-21-2017-EZU280432-update.scr
invoice-03-21-2017-ENC197472.scr
Результаты анализов: VT, VT


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up on BC + Write-up on Malwarebytes
 My Write-up on SZ
 *
 Thanks: 
 Yonathan Klijnsma
 Michael Gillespie
 Lawrence Abrams
 I myself, as SNS-amigo :)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *