четверг, 30 июня 2016 г.

SZFLocker

SZFLocker (Polish) Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует файлы пользователя, а затем вписывает во все текстовые файлы текст на польском языке, предписывающий обратиться на email вымогателя. 

  К зашифрованным файлам добавляется расширение .szf. Название вымогатель получил от этого расширения. 



Перевод записки на русский язык:
Файл зашифрован. Услуга дешифровки доступна по адресу deszyfrator.deszyfr@yandex.ru

Степень распространенности: низкая.
Подробные сведения собираются. 

Внимание!
Для зашифрованных файлов есть декриптер

среда, 29 июня 2016 г.

WildFire Locker

WildFire Locker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы с помощью AES-256 (CBC режим), а затем требует выкуп в $/€ 299. На уплату выкупа даётся неделя, а потом цена увеличится в 3 раза. 

К зашифрованным файлам добавляется расширение .wflx

© Генеалогия:  GNL Locker > Zyklon Locker > WildFire Locker


Remove WildFire Locker Decrypt Decode Restore files Recovery data Удалить WildFire Дешифровать Расшифровать Восстановить файлы

Записки о выкупе называются: 
HOW_TO_UNLOCK_FILES_README_(<ID>).html (перевод "Как разблокировать файлы. Прочтите")
HOW_TO_UNLOCK_FILES_README_(<ID>).txt
HOW_TO_UNLOCK_FILES_README_(<ID>).bmp



Содержание записки о выкупе:
All your files have been encrypted by WildFire Locker
All your files have been encrypted with an unique 32 characters long password using AES-256 CBC encryption.

The only way to get your files back is by purchasing the decryption password!
The decryption password will cost $/€299.
You have untill woensdag 6 juli 2016 UTC before the price increases to $/€999!

Antivirus software will NOT be able to recover your files! The only way to recover your files is by purchasing the decryption password.
Personal ID: [redacted]

Visit one of the websites below to purchase your decryption password!
http://exithub1.su/[***]
http://exithub2.su/[***]

If these websites don't work follow the steps below
1. Download the TOR Browser Bundle https://www.torproject.org/projects/torbrowser.html.en#downloads
2. Install and then open the Tor Browser Bundle.
3. Inside the Tor Browser Bundle navigate to gsxrmcgsygcxfkbb.onion/[***]

Перевод на русский язык: 
Все ваши файлы зашифрованы WildFire Locker
Все ваши файлы зашифрованы с уникальными 32 символьным паролем с помощью AES-256 CBC шифрование.

Единственный способ получить файлы обратно — это купить пароль дешифровки!
Пароль дешифровки стоит $/€ 299.
У вас есть время до 6 июля 2016 по ВКВ, когда цена возрастет до $/€ 999!

Антивирусное ПО не восстановит ваши файлы! Можно восстановить файлы, только купив пароль дешифровки.
Ваш ID: [***]

Посети один из сайтов, чтобы купить ваш пароль дешифровки!
http://exithub1.su/[***]
http://exithub2.su/[***]

Если эти сайты не работают, следуй пунктам ниже
1. Загрузи браузер Tor https://www.torproject.org/projects/torbrowser.html.en#downloads
2. Установи, а затем открой браузер Tor.
3. Из браузера Tor открой gsxrmcgsygcxfkbb.onion / [***]


Сайт уплаты выкупа с платежной информацией

Форма отправки запроса на помощь

На странице уплаты выкупа имеется ссылка на форму обратной связи с вымогателями. 

Текст на экране:
On this page you can ask questions if you want to know something or need help.
We will get back to you within 24 hours (our answers will be shown on this page)

Перевод текста:
Здесь можете задать вопросы, если хотите что-то узнать или нужна помощь.
Мы ответим вам за 24 часа (ваши ответы будут отображены на этой странице)


По данным специалистов у WildFire Locker тот же код, те же слои запутывания, те же C&C-серверы, только другие расширения и записка о выкупе. 

От атаки WildFire освобождены только ряд стран Восточной Европы: Россия, Беларусь, Украина, Латвия, Эстония и Молдова. См. отчет в блоге McAffee

Распространяется с помощью ботнета Kelihos и email-спама с вредоносным вложением. Письма оформлены на голландском языке и имитируют уведомление о недоставке груза. Получателю советуют оформить новую заявку в транспортный отдел, форму которой якобы можно скачать по указанной ссылке вместе с базовой информацией о порядке доставки.

По ссылке находится doc-файл с вредоносный макросом, для активации которого пользователю предлагается (на английском и голландском языках) включить режим редактирования, а затем активировать макросы в документе. Как показал анализ VBA-зловреда, в его исходный код включен ряд произвольных имен (TonyMontanaZRanaJakmietana, KerryMcNot, LouiseBackdone), в том числе несколько знакомых для поклонников творчества Толкина: Nazgul, MinasTirit, Gondor.

Этот загрузчик и доставляет жертве WildFire Locker. Сайт, созданный злоумышленниками для приема платежей, размещен в анонимной сети Tor. Для определения местоположения жертвы он использует специальный плагин.

Степень распространенности: пока не определена.
Подробные сведения собираются. 


Внимание! 
Для зашифрованных файлов есть декриптор

AMBA

AMBA Ransomware


  Этот крипто-вымогатель шифрует файлы, находящиеся на веб-сайтах. Зашифрованными оказываются все файлы во всех директориях сайта, а к  ним добавляется расширение .AMBA




Remove AMBA Decrypt AMBA Decode Restore files Recovery data Удалить AMBA Дешифровать Расшифровать Восстановить файлы

Также в каждой директории размещается записка о выкупе под названием ПРОЧТИ_МЕНЯ.txt. Она имеет не только русскоязычное название, но и весь текст написан на русском языке. 



Более ранние версии вредоноса для серверов с другими записками о выкупе известны с 2013 года. К зашифрованным файлам тогда добавлялось  расширение .amba (с маленькими буквами). 

Сетевые подключения и связи:
Email: amba@riseup.net



Обновление от 1 сентября 2016:
Новое расширение для зашифрованных файлов: .PROD или .prod
Email: rr0d@riseup.net
Пример на форуме >>
Записка: ПРОЧТИ_МЕНЯ.txt
Скриншот записки:


Степень распространённости: высокая.
Подробные сведения собираются регулярно.

Обновление от 12 сентября 2017:
Новая итерация: Crypto_Lab Ransomware



 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as AMBA)
 Write-up, Topic of Support
 * 
 Thanks: 
 *
 Michael Gillespie
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.

Windows10

Windows10 Ransomware


   Это крипто-вымогатель шифрует файлы, а затем требует выкуп 0,5 биткоинов или больше за дешифровку. К зашифрованным файлам добавляется расширение .windows10

 © Генеалогия: Troldesh (Shade) > Windows10 Ransomware

   Ориентирован, главным образом, на русскоязычных пользователей. Англоязычный текст в первой фразе короче на три слова и добавлен вторым на тот случай, если среди пострадавших будут иноязычные пользователи. 


Remove Windows10 Shade Decrypt Windows 10 Decode Restore files Recovery data Troldesh Удалить Дешифровать Расшифровать Восстановить файлы

Записки о выкупе README.txt создаются в каждой папке, где есть зашифрованные файлы, на Рабочем столе, в корневых директориях всех дисков, в том числе и подключенных к компьютеру внешних дисках. 

Текст на изображении, встающим обоями рабочего стола, аналогичен тому, что был у Troldesh (Shade).

Содержание записки о выкупе на скриншоте написано на двух языках:
ВНИМАНИЕ!
Все важные файлы на всех дисках вашего компьютера были зашифрованы.
Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков.

ATTENTION!
All the important files on your disks were encrypted.
The details can be found in the README.txt files which you can find on any of your drives.


Содержание тестовых записок с именами README1.txt, README2.txt — README10.txt и пр. 
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
095AAECA1E4B0BCD71DE|677|3|2
на электронный адрес Ryabinina.Lina@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае
их изменения расшифровка станет невозможной ни при каких условиях.
Если вы не получили ответа по вышеуказанному адресу в течение 48 часов (и только в этом случае!),
воспользуйтесь формой обратной связи. Это можно сделать двумя способами:
1) Скачайте и установите Tor Browser по ссылке: https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
http://cryptorz76e7vuik.onion/
и нажмите Enter. Загрузится страница с формой обратной связи.
2) В любом браузере перейдите по одному из адресов:
http://cryptorz76e7vuik.onion.to/
http://cryptorz76e7vuik.onion.cab/

All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
095AAECA1E4B0BCD71DE|677|3|2
to e-mail address Ryabinina.Lina@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
Install it and type the following address into the address bar:
http://cryptorz76e7vuik.onion/
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:
http://cryptorz76e7vuik.onion.to/
http://cryptorz76e7vuik.onion.cab/

Судя по зашифрованным файлам, вредонос самым изуверским образом портит имя файла, как это делали раньше предыдущие криптовымогатели, например, Troldesh/Shade. 

Зашифрованные файлы будут выглядеть примерно так: 
w4f-SSkK3HC6ncNeAjfrRalI+OOwFyNPOEUDel1nktH+Ddg4-dZJfEpr8rh+nfXn[.ID_жертвы].windows10 
Перед добавляемым расширением .windows10 легко угадывается ID жертвы. На скриншоте это недорасширение .095AAECA1E4BOBCD71DE

Предположительно этот криптовымогатель является разновидностью или дальнейшим развитием Shade, потому, как и прародитель, может представлять серьёзную опасность для пользователей, если получит широкое распространение. 

Степень распространенности: средняя.
Подробные сведения собираются. 

вторник, 28 июня 2016 г.

MicroCop

MirCop Ransomware

MicroCop Ransomware

Crypt888 Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы с помощью DES-шифрования, а затем требует вернуть якобы украденные 48,48 биткоинов. На самом деле банально вымогает выкуп. По сути это один из самых крупных выкупов в истории криптовымогательства последних лет. Имеет другое название: Crypt888. 

К зашифрованным файлам добавляется не расширение, а приставка Lock. — таким образом зашифрованный файл выглядит так: Lock.original_name.png


Remove MirCop Decrypt MicroCop Decode Restore files Recovery data Удалить MicroCop Дешифровать Расшифровать Восстановить файлы

  На скринлоке (графическом варианте записки о выкупе, который ставит обоями на рабочем столе файл wl.jpg), можно видеть фигуру в капюшоне и в маске Гая Фокса. Изображение позаимствовано у известной музыкальной группы Hacktivist, а текст просто заменен другим.  Эту маску также использует хакерская группа Anonymous. 

  В конце записки приводится Bitcoin-адрес, на который нужно перевести сумму выкупа. Никаких инструкций для жертвы вымогательства не предоставляется. Видимо, предполагается, что в "век развитого компьютерного вымогательства" все уже должны знать, что такое биткоины, как их получать и переводить другим. 

Текст со скринлока:
Hello.
You've stolen 48.48 BTC from the wrong people, please be so kind to return them and we will return your files.
Don't take us for fools, we know more about you than you know about yoursetf.
Pay us back and we won't take further action, don't pay and be prepared.
Bitcoin address...

Перевод на русский:
Привет.
Вы украли 48.48 BTC не у тех людей, потому будьте любезны вернуть их, и мы вернем ваши файлы.
Не считайте нас дураками, мы знаем о вас больше, чем вы знаете о себе.
Верните и мы тогда не зайдём дальше, не заплатите, будьте готовы.
Bitcoin-адрес...

Примечательно, что кроме биткоин-адреса для оплаты, вымогатели не дают пострадавшей стороне никаких контактов для связи. 

  Распространяется MirCop через email-спам с вложенным документом. Документ якобы от таможни Таиланда, который используется при импорте или экспорте товаров. В нем скрыт вредоносный макрос, который использует Windows PowerShell, чтобы выполнить загрузку собственно криптовымогателя. Злоумышленники используют специальный текст, запрашивающий разрешение на включение макросов для правильного отображения содержимого документа. Расcчитан на неопытных и излишне любопытных.  

  После полученного разрешения браузер пользователя перенаправляется на некий сайт магазина для взрослых на голландском языке, возможно давно взломанный, где размещены вредоносные файлы. Пока жертва его смотрит, на ПК начинается вредоносная деятельность: три файла загружаются в папку %TEMP%. Один из них, с именем c.exe, запускает процедуру, которая ворует пользовательскую информацию (логин-пароли из всех популярных браузеров, из FileZilla, Skype и другие данные). Два других, x.exe и y.exe, начинают шифрование файлов. В автозагрузку добавляется ярлык MicroCop.lnk, запускающий файл x.exe из директории Temp, выполняющий шифрование. 

Как видно из скриншота выше, шифрованию подвержены файлы в пользовательских директориях: Рабочий стол, Музыка, Изображения, Видео, Документы, в том числе и в общих папках. 

Файлы, связанные с MirCop Ransomware:
C:\Users\User-Name\AppData\Local\Temp\8x8x8
C:\Users\User-Name\AppData\Local\Temp\x.exe
C:\Users\User-Name\AppData\Local\Temp\y.exe
C:\Users\User-Name\AppData\Local\Temp\wl.jpg 
C:\Users\User-Name\AppData\Local\VCGTUY.vBS
C:\Users\User-Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MicroCop.lnk

Файлы, связанные с хищением паролей:
C:\Users\User-Name\AppData\Local\Temp\c.exe
C:\Users\User-Name\AppData\Local\Temp\putty.exe
C:\Users\User-Name\AppData\Local\PassW8.txt
C:\Users\User-Name\AppData\Local\Sqlite.dll
C:\Users\User-Name\AppData\Local\aut1.tmp

Результаты анализов: 
Гибридный анализ на файл PuTTY.exe >>
VirusTotal анализ на файл PuTTY.exe >>

Записи реестра, связанные с MirCop Ransomware:
HKCU\Control Panel\Desktop\Wallpaper "%UserProfile%\AppData\Local\Temp\wl.jpg"

Вредонос определяется TrendMicro как  RANSOM_MIRCOP.A
TrendMicro сокращает названия вредоносов до 6 букв. Так название ярлыка в автозагрузке MicroCop стало MIRCOP. 


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя
Подробные сведения собираются. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 ноября 2017:
Результаты анализов: VT
<< Скриншот записки 







=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер.
Скачать декриптер для MirCop / MicroCop / Crypt888 >>>
*
*
*
*
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MirCop)
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 Michael Gillespie
 Jakub Kroustek
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

HiddenTear 2.0

HiddenTear 2.0 (EduCrypt) Ransomware 

(шифровальщик-вымогатель, шифровальщик-обучатель)


  Этот крипто-вымогатель шифрует файлы с помощью AES со случайным именем, а затем предлагает загрузить декриптер для бесплатной дешифровки. 

Зашифрованные файлы получают расширение .isis 


Remove HiddenTear 2.0 Decrypt EduCrypt Decode Restore files Recovery data Удалить HiddenTear Дешифровать Расшифровать Восстановить файлы

  HiddenTear 2.0 — это оригинальное название вымогателя, но некоторые исследователи предпочли назвать его EduCrypt, считая его "обучающим вымогателем", что само по себе абсурдно. 

О шифровальщиках-обучателях читайте в Глоссарии

  Шифровальщик HiddenTear 2.0 основан на урезанной версии оригинального Hidden Tear. Он имеет ограниченный набор папок, в которых шифрует файлы, небольшое количество целевых файловых расширений и не обменивается данными с C&C-сервером.

При запуске криптовымогателя шифруются файлы в следующих папках:
%UserProfile%\Desktop
%UserProfile%\Downloads
%UserProfile%\Documents
%UserProfile%\Pictures
%UserProfile%\Music
%UserProfile%\Videos

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .bat, .bk, .bmp, .css, .csv, .divx, .doc, .docx, .exe, .html, .index, .jpg, .lnk, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .odt, .ogg, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .sln, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .zip (41 расширение).

По окончании шифрования на рабочем столе создается файл-записка README.txt. Там сообщается о том, что случилось с файлами жертвы и даётся ссылка на дешифратор. 
Записка о выкупе
Декриптер от вымогателей

Содержание записки от вымогателей:
Well hello there, seems you have a virus! Well you are going to get the decryptor which is here http://www.filedropper.com/decrypter_1 Don't 
Download Random Shit On The Internet. A Hidden .txt File Has Been Created With The Decrypt Password! Find It!..

Перевод на русский язык:
Ну привет, кажется, у тебя есть вирус! Ну ты можешь получить декриптор, который здесь http://www.filedropper.com/decrypter_1 
Не качай всякое дерьмо из Интернета. Был создан скрытый txt-файл DecryptPassword.txt! Найди его!..

Пароль для дешифрования HDJ7D-HF54D-8DN7D сохраняется в "Documents" (Мои документы) в скрытый файл "DecryptPassword.txt". Он является единым для всех пострадавших от этой программы-вымогателя.
Файл с паролем

Замечено распространение этого вредоноса с загрузкам из Интернета, с иконкой Skype в стиле оригами и названием файла "skypetool.exe". 

Пострадавшим лучше НЕ использовать декриптор от вымогателей, который ищет только файлы с расширением .locked, запрограммированным в оригинальном HiddenTear, и не ищет файлы с расширением .isis, которое использует данный криптовымогатель. 

Разумнее использовать уже проверенный универсальный дешифровщик от Майкла Джиллеспи, в котором можно добавить любое расширение.




Рекомендуется сначала попробовать дешифровать 1-2 файла, чтобы получить положительный результат. И лишь потом указать на другие папки с зашифрованными файлами. 


 Read to links: 
 Write-up on BC
 ID Ransomware (ID as EduCrypt)
 *
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 27 июня 2016 г.

Satana

Satana Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Выкуп должен быть уплачен в течение 7 дней, иначе по истечении недели дешифровка станет невозможной. 


Remove Satana Decrypt Satana Decode Restore files Recovery data Удалить Satana Дешифровать Расшифровать Восстановить файлы

   Во время шифрования SATANA изменяет имя каждого зашифрованного файла в следующем формате: Gricakova@techemail.com_[original file name]

Например, файл photo.jpg  будет переименован в Gricakova@techemail.com_photo.jpg

  Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео и пр. на локальных и сетевых дисках, в том числе и на неотображаемых сетевых ресурсах. Примечательно, что миниатюры зашифрованных файлов изображений показывают не пустое изображение, а реальную миниатюру. 

  По окончании шифрования перед жертвой выходит сообщение о выкупе. Записки о выкупе называются !satana!.txt и размещаются в каждой папке с зашифрованными файлами. 
   
  После перезагрузки ПК на экране на чёрном фоне выводится красный устрашающий текст.  

Текст с экрана:
You had bad luck. There was crypting of all your files in a FS bootkit virus <!SATANA!>
To decrypt you need send on this E-mail: banetnatia@mail.com your private code: 14B4030A8A7F8B8D7B1101720567C27E and pay on a Bitcoin Wallet: XjU81vkJn4kExpBE2r92tcA3zXVdbfux6T total 0,5 btc After that during 1 - 2 days the software will be sent to you - decryptor - and the necessary instructions. All changes in hardware configurations of your computer can make the decryption of your files absolutely impossible! Decryption of your files is possible only on your PC! Recovery is possible during 7 days, after which the program - decryptor - can not ask for the necessary signature from a public certificate server. Please contact via e-mail, which you can find as yet in the form of a text document in a folder with encrypted files, as well as in the name of all encrypted files.If you do not appreciate your files we recommend you format all your disks and reinstall the system. Read carefully this warning as it is no longer able to see at startup of the computer. We remind once again- it is all serious! Do not touch the configuration of your computer!
E-mail: banetnatia@mail.com - this is our mail
CODE: 14B4030A8A7F8B8D7B1101720567C27E this is code; you must send
BTC: XjU81vkJn4kExpBE2r92tcA3zXVdbfux6T here need to pay 0,5 bitcoins
How to pay on the Bitcoin wallet you can easily find on the Internet. Enter your unlock code, obtained by E-mail here and press "ENTER" to
continue the normal download on your computer. Good luck! May God help you!
<!SATANA!>

Перевод на русский язык:
Вам не везло. Все ваши файлы зашифровал FS буткит-вирус <!SATANA!>
Для дешифровки отправьте на почту: banetnatia@mail.com ваш код: 14B4030A8A7F8B8D7B1101720567C27E и оплатите на Bitcoin-кошелек: XjU81vkJn4kExpBE2r92tcA3zXVdbfux6T всего 0,5 BTC. В течение 1-2 дней вам будет отправлен дешифровщик и инструкции. Изменения в аппаратной конфигурации вашего компьютера могут сделать дешифровку файлов невозможной! Дешифровка файлов возможна только на вашем ПК! Восстановление возможно в течение 7 дней, после чего программа - декриптор - не сможет получить с сервера подписанный сертификат. Свяжитесь с нами по email, который можно найти еще в текстовом документе в папке с зашифрованными файлами, а также в  имени всех зашифрованных файлов. Если вы не цените свои файлы, мы рекомендуем отформатировать все диски и переустановить систему. Внимательно прочтите это предупреждение, т.к. его не будет при следующем запуске ПК. Напоминаем - это все серьезно! Не меняйте конфигурацию вашего ПК!
E-mail: banetnatia@mail.com - это наша почта
КОД: 14B4030A8A7F8B8D7B1101720567C27E этот код вы должны прислать
BTC: XjU81vkJn4kExpBE2r92tcA3zXVdbfux6T сюда нужно заплатить 0,5 Bitcoins
Как платить на Bitcoin-кошелек можно легко найти в Интернете. Введите код разблокировки, полученный по E-mail здесь и нажмите "ENTER", чтобы продолжить нормальную загрузку ПК. Удачи! Да поможет вам Бог!

Кроме указанного в записке адреса banetnatia@mail.com могут быть другие, в их числе Kharpov_igor@mail.com, matusik11@techemail.com, megrela777@gmail.com, rayankirr@gmail.com, ryanqw31@gmail.com, Sarah_G@ausi.com и др.

Вымогателями нарочно подобраны адресаты из разных стран, видимо, осуществляются целенаправленные рассылки по странам и регионам. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3ds, .3gp, .7z, .acc, .apk, .asm, .avi, .bak, .bmp, .c, .cal, .casb, .ccp, .cdr, .cer, .chm, .ckp, .cmx, .conf, .cpp, .cr2, .cry, .cs, .css, .csv, .dacpac, .dat, .db, .db3, .dbf, .dbx, .dcx, .dgn, .djvu, .doc, .docm, .docx, .dwg, .dxf, .epub, .fb2, .flv, .gbr, .gho, .gif, .gz, .ibooks, .iso, .java, .jpe, .jpeg, .jpg, .js, .key, .ma, .md2, .mdb, .mdf, .mht, .mhtm, .mkv, .mobi, .mov, .mp3, .mp4, .mpeg, .mpg, .mrg, .ods, .odt, .pas, .pdb, .pdf, .php, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .psd, .psp, .py, .rar, .rb, .rbw, .rtf, .sav, .scr, .sdf, .sql, .sqlite, .sqlite3, .sqlitedb, .stl, .swf, .tax, .tbl, .tex, .tif, .tiff, .torrent, .txt, .v2i, .vpd, .vsd, .wmv, .xls, .xlsx, .xml, .xps, .zip (114 расширений).

После шифрования Satana удаляет теневые копии файлов и автоматически перезагружает ПК. 

Важно отметить, что Satana, в отличие от других вымогателей, изменяет параметры загрузки компьютера. Он заменяет Master Boot Record на свой вредоносный загрузчик с бутлокером и выводит на экран вымогательский текст. После перезагрузки ПК потерпевшие не смогут получить доступ к своему рабочему столу, т.к. им будут отображаться требования вымогателя. 

К сожалению, пока нет никаких декриптеров для этого вымогателя и нет никакого другого способа восстановления файлов и системы из резервной копии.

Степень распространённости: средняя. 
Подробные сведения собираются регулярно.

суббота, 25 июня 2016 г.

Bart

Bart Ransomware

(фейк-шифровальщик в 1-й версии)


(шифровальщик-вымогатель во 2-й версии)


   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 3 биткоина, чтобы вернуть файлы обратно. На самом деле файлы помещаются в запароленный архив, а вымогатель работает без предварительного подключения к C&C-серверу. Bart — оригинальное название, данное ему его создателями. Вполне возможно, что в честь Барта Симпсона из мульсериала "Симпсоны". 


Remove Bart Decrypt Bart.zip Decode Restore files Recovery data Удалить Bart Дешифровать Расшифровать Восстановить файлы

  Заблокированные файлы получают расширение .bart.zip. Цели вымогателя: базы данных, документы и их шаблоны, PDF, фотографии, музыка, видео и пр. 
Для открытия файлов bart.zip требуется ввести пароль.


  Записок с требованием выкупа две: текстовая recover.txt (в каждой папке с заблокированными файлами) и recover.bmp (для замены обоев рабочего стола). 

  Для распространения используется спам-кампания с zip-вложениями, содержащими JavaScript-код. При неосторожном запуске содержимого вложения будет загружен и установлен загрузчик RockLoader, который загрузит Bart Ransomware. Тема писем называется "Photos", а вложения могут быть следующие photos.zip, image.zip, Photos.zip, photo.zip, Photo.zip, picture.zip. В архивах находится JavaScript-файл, например, PDF_123456789.js 

  Bart проверяет язык системы и не запускает блокирование файлов, если язык системы пользователя русский, украинский или белорусский. Определив язык, на котором работает система, предлагает соответствующую записку с требованием выкупа на итальянском, французском, немецком и испанском языках. 

Список файловых расширений, подвергающихся блокированию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myf, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (142 расширения)

Уплата выкупа производится на платежном портале Decryptor Bart, который очень похож на тот, который используется Locky. Необходимая информация о зараженной машине, скорее всего, передается на сервер оплаты в параметре URL "ID". 

Т.к. файлы всё же не шифруются, то Bart Ransomware 1-й версии можно отнести к фейк-шифровальщикам. Но более новые версии уже шифруют файлы. 

Обновление от 18 августа 2016:
Новая версия: Bart 2.0
Новое расширение: .bart (без zip).
Записка с тем же названием, но содержание изменено: recover.txt

Обновление от 18 октября 2016:
Новая версия: Bart 2.5
Новое расширение: .perl (без zip).

Записка с тем же названием, но содержание изменено: recover.txt
Анализы: HA, VT

Степень распространённости: средняя. 
Подробные сведения собираются.


Внимание!
Для зашифрованных файлов есть декриптер
1. Скачать декриптер для Bart Ransomware >>>
2. Скачать декриптер для Bart Ransomware новых версий >>
Для дешифрования файлов нужно подключение к Интернету. 

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton