суббота, 30 июля 2016 г.

Не плати выкуп! No More Ransom!

Шифровальщики — чума Интернета


   Сейчас уже ни для кого не секрет, что в Интернет перенесены все виды имеющихся преступлений. Среди них кибершпионаж, кибертерроризм, кибермошенничество, киберкражи и, согласно тематике этого блога, кибервымогательство и кибершантаж.

  Киберпреступления в России давно хотят приравнять к кражам, усилив наказания, но данный вопрос поднят с подачи банковских структур, которым якобы хакеры житья не дают. Может быть, так оно и есть. Кто о чём, а банки о хакерах...

   В готовящемся законопроекте также упомянуто скачивание нелицензионных программ и аудио-видео-"шедевров" современной "шедевро"-индустрии, и так выливающейся на нас, как ушат грязной воды. Опять налицо охота на ведьм, а не на истинных киберпреступников, которые как чума распространились по всей Всемирной Сети и затронули каждую семью в каждой стране мира, имеющую выход в Интернет.

  Да, я говорю о Вымогательской Чуме: крипто-вымогателях, шифровальщиках, блокировщиках и всевозможных фейках, т.е. программах, которые прикидываются шифровальщиками, блокировщиками, программами, предлагающими "очистку" за плату, но от этого не перестают быть вымогателями. Их создатели открыто размещают свои "творения" в сети Интернет, не боясь ни правоохранителей, ни криминальной мафии, ни местной полиции, ни Европола и Интерпола. Они рекламируют, их рекламируют и продвигают в результатах поиска автоматизированных систем Google и Яндекс. 

  Вот с кем должны бороться законы о киберпреступлениях, вот кого в первую очередь должна хватать полиция, вычислять Европол, Интерпол и Управление "К"! Хотелось бы верить, что работа в этом направлении ведётся денно и нощно, но факт налицо: вымогательство и криптовымогательство стало бичом и чумой Интернета, как каток подмяв под себя классические вирусные эпидении. 

  Пользователи компьютеров за последнюю пару лет стали гораздо чаще сталкиваться с программами-шифровальщиками,  фейк-шифровальщиками, блокировщиками-вымогателями и прочими, требующими выкуп за возвращение доступа к файлам, которые они зашифровали и сделали нечитаемыми, заблокировали и сделали недоступными, переместили, скрыли, удалили... Как это стало возможным? 



  Давно прошли те времена, когда распространением вредоносной программы занимался один преступник или начинающий программист. Сейчас чаще всего киберпреступники работают командой, т.к. такая совместная работа приносит больше прибыли. Например, с развитием вымогательской бизнес-модели (RaaS), основанной на оплате выкупа в биткоинах, одна группа может заниматься техподдержкой, написанием рекомендаций, через чат или по email подсказывать новым жертвам, как и где можно купить, обменять, перевести биткоины для последующей уплаты выкупа. Другая группа занимается разработкой, обновлением и отладкой вымогательского ПО. Третья группа обеспечивает прикрытие и размещение. Четвертая группа работает с C&C и администрирует работу из командного центра. Пятая занимается финансовыми вопросами и работает с партнёрами. Шестая компрометирует и заражает сайты... С развитием RaaS, чем сложнее и распространеннее вымогательское ПО, тем больше задействованных групп и выполняемых ими процессов. 

  Столкнувшись с атакой крипто-вымогателей пострадавшие оказываются перед сложным вопросом: Заплатить выкуп? или Распрощаться с файлами? Чтобы обеспечить себе анонимность киберпреступники используют сеть Tor и требуют выкуп в криптовалюте Bitcoin. На июнь 2016 денежный эквивалент 1 BTC уже превышает 60 тысяч рублей и меньше уже не станет. К сожалению, решив заплатить, пострадавшие невольно финансируют дальнейшую вымогательскую деятельность киберпреступников, аппетит которых растёт не по дням, а по часам и с каждой новой выплатой они убеждаются в своей безнаказанности. 



  Как же быть? Сегодня пока нет универсального инструмента для расшифровки данных, есть лишь отдельные утилиты, создаваемые и подходящие для конкретных шифровальщиков. Потому в качестве основной защиты рекомендуются меры, не допускающие заражения шифровальщиками. При этом очень важно повышение осведомленности пользователей об этих мерах и об угрозах, исходящих от программ-шифровальщиков и вымогателей. Для этой цели создан наш блог. Здесь собирается информация по каждому шифровальщику-вымогателю, фейк-шифровальщику или блокировщику, выдающему себя за шифровальщика. 

Во втором моём блоге "Дешифровщики файлов" с мая 2016 года суммируется информация по декриптерам, которые создаются для бесплатной дешифровки файлов, зашифрованных Crypto-Ransomware. Все описания и инструкции впервые публикуются на русском языке. Сверяйтесь регулярно. 

  Для цели профессиональной помощи этим летом «Лаборатория Касперского», Intel Security, Европол и полиция Нидерландов организовали совместный проект "No More Ransom", направленный на борьбу с программами-вымогателями. Участники проекта создали сайт NoMoreRansom.org, содержащий общую информацию о шифровальщиках (на английском), а также бесплатные инструменты для восстановления зашифрованных данных. Сначала было всего 4 таких инструмента от ЛК и McAfee. На день написания статьи их было уже 7 и функционал был ещё более расширен. 

Примечательно, что этот проект только лишь в декабре дополнен группой декриптеров, которые давно описаны в моих блогах "Шифровальщики-вымогатели" и "Дешифровщики файлов". 


No More Ransom!
Обновление от 15 декабря 2016:
К проекту присоединились другие компании, ранее выпустившие другие дешифровщики. Сейчас там уже 20 утилит (некоторых даже по две):
WildFire Decryptor - от «Лаборатории Касперского» и Intel Security
Chimera Decryptor - от «Лаборатории Касперского»
Teslacrypt Decryptor - от «Лаборатории Касперского» и Intel Security
Shade Decryptor - от «Лаборатории Касперского» и Intel Security
CoinVault Decryptor - от «Лаборатории Касперского»
Rannoh Decryptor - от «Лаборатории Касперского»
Rakhni Decryptor - от «Лаборатории Касперского»
Jigsaw Decryptor - от Check Point
Trend Micro Ransomware File Decryptor - от Trend Micro 
NMoreira Decryptor - от Emsisoft
Ozozalocker Decryptor - от Emsisoft
Globe Decryptor - от Emsisoft
Globe2 Decryptor - от Emsisoft
FenixLocker Decryptor - от Emsisoft
Philadelphia Decryptor - от Emsisoft
Stampado Decryptor - от Emsisoft
Xorist Decryptor - от Emsisoft
Nemucod Decryptor - от Emsisoft
Gomasom Decryptor - от Emsisoft
Linux.Encoder Decryptor - от BitDefender
Теперь в "No More Ransom" состоят представители из 22 стран мира.


Удачи в дешифровке!!!


Не плати выкуп! Подготовься! Защити свои данные! Делай бэкапы!
Пользуясь моментом, напоминаю: 
Вымогательство — это преступление, а не игра! Не играйте в эти игры. 

© Amigo-A (Andrew Ivanov): All blog articles

R980

R980 Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RSA-4096, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Название происходит от названия папки с проектом R980. 

 К зашифрованным файлам добавляется расширение .crypt

 Записки с требованием выкупа называются: DECRYPTION INSTRUCTIONS.txt и rtext.txt 

В качестве обоев рабочего стола встает следующий файл:

 Содержание записки о выкупе: 
!!!! ATTENTION !!!! YOUR FILES HAVE BEEN ENCRYPTED! !!!!
ALL of your documents, photos, databases and other important files have been encrypted with AES-256 and RSA4096.You will not be able to recover your files without the private key which has been saved on our server. An antivirus can not recover your files.
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard
HOW TO GET YOUR FILES BACK:
To decrypt your files you have to pay .5 Bitcoins (BTC).
How to make payment?
1. Firstly, you have to buy Bitcoins (BTC). You can buy Bitcoins easily at the following site (you can skip this step if you already have Bitcoins).
       https://www.coinbase.com/
       https://coincafe.com/
       https://bitquick.co/
2. Send .5 BTC to the following Bitcoin address – You don’t have to send the exact amount above. You have to send at least this amount for our systems to confirm payment.
BITCOIN ADDRESS: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr
3. Once you have paid to the above Bitcoin address we will give you a link to a decrypter that will fix your files.
It will be sent to a public email account we have created for you:
***ссылка на https://www.mailinator.com/***
Please wait up to 24 hours for your decrypter to arrive.

 Перевод записки на русский язык: 
!!!! ВНИМАНИЕ !!!! Ваши файлы зашифрованы! !!!!
ВСЕ ваши документы, фото, базы данных и другие важные файлы были зашифрованы с помощью AES-256 и RSA4096. Вы не сможете восстановить файлы без секретного ключа, который сохранен на нашем сервере. Антивирус не восстановит ваши файлы. 
hxxps: //en.wikipedia.org/wiki/Advanced_Encryption_Standard
КАК ПОЛУЧИТЬ файлы обратно:
Для дешифровки файлов вы должны уплатить 0.5 биткоина (BTC).
Как сделать платеж?
1. Во-первых, вы должны купить Bitcoins (BTC). Можно легко купить Bitcoin на следующем сайте (пропустите этот шаг, если у вас уже есть биткоины).
       https://www.coinbase.com/
       https://coincafe.com/
       https://bitquick.co/
2. Отправить 0.5 BTC на следующий адрес – Вы не должны отправлять точную сумму. Вы должны отправить нам по крайней мере эту сумму для подтверждения оплаты.
Bitcoin-адрес: 1NXYHuHdM8WBHBBRbxQbXQ9L3ry2radGgr
3. После того, как вы заплатили биткоины по указанному выше адресу, мы дадим вам ссылку на декриптер, который исправит ваши файлы.
Он будет направлен на email-аккаунт, который мы создали для Вас:
***ссылка на https://www.mailinator.com/***
Пожалуйста, ждите 24 часа для прихода вашего декриптера.

 Распространяется с помощью email-спама и вредоносных вложений, а также с помощью ссылок на зараженные сайты и P2P-сетей. Для пересылки декриптера вымогатели использовали почтовый сервис mailinator.com

После завершения шифрования вредонос удаляет тома теневых копий файлов. 

 Список файловых расширений, подвергающихся шифрованию: 
.3gp, .7z, .apk, .asm, .avi, .bmp, .c, .cal, .casb, .ccp, .cdr, .cer, .chm, .ckp, .cmx, .conf, .cpp, .cr2, .cs, .css, .csv, .dacpac, .dat, .db,  .db3, .dbf, .dbx, .dcx, .djvu, .doc, .docm, .docx,  .drw, .dwg, .dxf, .epub, .fb2, .flv, .gif, .gz, .ibooks, .iso, .java, .jpeg, .jpg, .js, .key, .md2, .mdb, .mdf, .mht, .mhtm, .mkv, .mobi, .mov, .mp3, .mp4, .mpeg, .mpg, .mrg, .pdb, .pdf, .php, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .psd, .psd, .psp, .py, .rar, .rb, .rbw, .rtf, .sav, .scr, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .tbl, .tif, .tiff, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xml, .xps, .zip (здесь 97 расширений). 

 Файлы, связанные с R980 Ransomware: 
db.txt - данные жертвы
keys.txt - BTC-адрес
f.exe - исполняемый файл

Дополнение от TrendMicro от 10 августа
Показателями компрометации ПК могут быть также файлы:
rtext.txt – записка о выкупе;
status.z – нужен для начального запуска вымогателей;
status2.z – нужен для запуска копии вымогателя;
k.z – содержит загруженные base64 декодированные данные;
fnames.txt – содержит имена зашифрованных файлов.
Итого: R980 шифрует уже 151 тип файлов. 

 Записи реестра, связанные с Ransomware: 
***

 Степень распространённости: низкая. 
 Подробные сведения собираются.

пятница, 29 июля 2016 г.

Turkish

Turkish Ransomware 

(шифровальщик-вымогатель)


 Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2 биткоина, чтобы вернуть файлы обратно. 

© Генеалогия:  HiddenTear >> Turkish Ransomware

Основан на крипто-конструкторе HiddenTear. Ориентирован только на турецкоязычных пользователей, т.к. требования о выкупе написаны на турецком языке. 

К зашифрованным файлам добавляется расширение .locked

Записка с требованием выкупа называется DOSYALARINIZA ULAŞMAK İÇİN AÇINIZ.html (Узнайте, как вернуть ваши файлы). 

 Содержание записки о выкупе: 
UYARI 
Tüm dosyalarınız CryptoLocker virüsü tarafından şifrelenmiştir 
Bilgisayarınızda, ağ disklerinde ve USB belleklerde olan önemli dosyalarınız; fotoğraflar,videolar ve kişisel bilgiler Cryptolocker virüsü ile şifrelenmiştir. Bizim şifreleme çözme yazılımını satın almak dosyalarınızı kurtarmak için tek yoldur. Aksi takdirde, tüm dosyalarınızı ve harddiskinizi kaybedersiniz. 
Dikkat:Cryptolocker virüs kaldırma işlemi şifrelenmiş dosyalara erişim sağlamaz. 
• İlk olarak '***' bu bitcoin adresine 2 bitcoin yatırınız.
• Buradan bitcoin gönderimi yapabilirsiniz.
• Bitcoini gönderirken açıklama kısmına şirketinizin adını yazınız.
• Buradan bize mail yollayıp mailde de açıklamaya yazdığınız şirket adınızı yazınız. (Gmail üzerinden mail atınız diğer mail istemcileri kabul edilmeyecektir.)
• Yukarıdaki maddeler de özellikle açıklama kısımlarına dikkat ediniz aksi takdirde bitconin veya mailin sizden geldiğine emin olamayız.
• İkisininde açıklamasına yazdığınız değerler eşit olmalıdır. Bunlar bilgisayar tarafından kontrol edildiği için lütfen yazdıklarınızdan emin olunuz. 
Bitcoin açıklamasına yazdığınız değer için örnek; Özsüt Limited 
Mail açıklamanızda Özsüt Limited geçmelidir. Örnek; 
Özsüt Limited adına size ulaşıyorum lütfen CryptoLocker virüsünü kaldırmamız için gerekli programı yollar mısınız. 
İstediğiniz miktar BitCoin adresinize yollanmıştır. 
İyi çalışmalar. 

Bu sayfa en iyi 1920x1080px çözünürlükte ve chrome veya mozilla üzerinde görünür. Lütfen Internet Explorer ile açmayı denemeyiniz. Eğer açtıysanız dosyalarınız bir kez daha şifrelenmiştir. Lütfen bizimle iletişime geçiniz. 

 Перевод записки на русский язык (выполнил Amigo-A): 
ВНИМАНИЕ!
Все ваши файлы зашифрованы вирусом CryptoLocker
Все ваши важные файлы на компьютере, на сетевом диске и USB-памяти, фото, видео и личные данные зашифрованы вирусом CryptoLocker. Единственный способ вернуть файлы покупка нашего дешифровщика. Иначе вы потеряете все файлы безвозвратно.
Внимание: Удаление CryptoLocker не откроет вам доступ к зашифрованным файлам.
• Переведите 2 биткоина на Bitcoin-адрес ***
• Вы можете отправить Bitcoin здесь (ссылка)
• Введите название Вашей компании в описании отправленных Bitcoin.
• Введите в email имя компании, от имени которой отправляете. (Пишите только через почту Gmail, с другой не будет почтовый клиент не примет.) 
• Обратите внимание на пункт выше, иначе мы не будем уверены, что Bitcoin или email-письмо пришли от вас.
• Название, которое вы ввели в описании и письме, должны совпадать, пока они еще на вашем ПК, пожалуйста, убедитесь, что написали.
Например, если вы отправляли Bitcoin от имени Ёзсют Лимитед, то в вашем письме отправитель должен быть Ёзсют Лимитед, а в самом письме должно быть написано: 
"Я обращаюсь к Вам от имени Ёзсют Лимитед. Пожалуйста, пришлите программу для удаления вируса CryptoLocker. Нужная сумма была отправлена на ваш Bitcoin-адрес."
Готово.

Эта страница будет отображаться в разрешении 1920x1080px Chrome или Mozilla. Попробуйте открыть браузер Internet Explorer. Если открытый файл зашифрован файл, то еще раз. Пожалуйста, свяжитесь с нами.

Распространяется с помощью email-спама и вредоносных вложений.

 Список файловых расширений, подвергающихся шифрованию: 
.txt, .rar, .jpeg, .jpg, .pdf, .sql, .png, .accdb, .xls, .xlsx, .doc, .docx, .ppt, .pptx, .zip, .gz, .tar, .tib, .tmp, .frm, .dwg, .pst, .psd, .ai, .svg, .gif, .bak, .db

 Файлы, созданные Turkish Ransomware: 
C:\Users\User_name\Documents\ransom.exe
C:\Users\User_name\.windowsServiceEngine
C:\Users\User_name\Desktop\DOSYALARINIZA ULAŞMAK İÇİN AÇINIZ.html 

 Раздел реестра, созданный Turkish Ransomware: 
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsServiceEngine


 Степень распространённости: низкая. 
 Подробные сведения собираются.

Remove Turkish Decrypt Delete UYARI Decode Restore files Recovery data Удалить HiddenTear Дешифровать Расшифровать Восстановить файлы Removal Uninstall Eliminar Borrar Entfernen Deinstallieren Löschen 


четверг, 28 июля 2016 г.

CryptInfinite

CryptInfinite Ransomware 

DecryptorMax Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует уплатить выкуп $500, используя ваучер PayPal MyCash, чтобы вернуть файлы обратно. Если платеж не придет за 12 часов, то плата за ключ дешифрования возрастет до $1000.

  Название различается в зависимости от сайта, с которого загрузилась инфекция. 

 К зашифрованным файлам добавляется расширение .crinf
Активность этого криптовымогателя пришлась на ноябрь-декабрь 2015 г. 

  Записка с требованием выкупа ReadDecryptFilesHere.txt создается в каждой папке с зашифрованными файлами. 

Содержание записки о выкупе:
Your personal files have been encrypted!
Your documents, photos, databases and other important files have been encrypted using a military grade encryption algorithm.
The only way to decrypt your files is with a unique decryption key stored remotely in our servers. All your files are now
unusable until you decrypt them. You have 24h to pay for the release of your decryption key. After 24h have passed, your
decryption key will be erased and you will never be able to restore your files.
To obtain your unique decryption key you will need to pay $500 using a PayPal MyCash voucher.
If the payment is not sent within 12h the amount to obtain your decryption key will be $1000.
PayPal MyCash vouchers can be purchased at CVS, 7-Eleven, Dollar General, fred`s Super Dollar,
Family Dollar and many other stores.
---
After obtaining your PayPal MyCash voucher code you need to send an email to
silasw9pa@yahoo.co.uk with the following information.
1. Your $500 PayPal MyCash PIN
2. Your encryption ID = <your id>
Shortly after the voucher is received and verified, all your files will be restored to their previous state.
All payments are processed and verified manually, do not try to send invalid PIN numbers.

Перевод записки на русский язык: 
Ваши личные файлы зашифрованы!
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с использованием алгоритма шифрования военного класса.
Единственный способ дешифровки файлов - это уникальный ключ дешифрования, хранимый на наших серверах. Все ваши файлы теперь непригодны для использования, пока вы их не дешифруете. У вас есть 24 часа, чтобы заплатить за ключ дешифрования. После 24 часов ключ дешифрования будет стерт и вы не сможете восстановить файлы.
Чтобы получить уникальный ключ дешифрования вам нужно заплатить $500, используя ваучер PayPal MyCash.
Если платеж не придет за 12 часов, то плата за ключ дешифрования возрастет до $1000.
PayPal MyCash ваучеры можно приобрести в CVS, 7-Eleven, Dollar General, fred`s Super Dollar, Family Dollar и во мн. др. магазинах.
---
После получения вашего PayPal MyCash код ваучера нужно отправить по email
silasw9pa@yahoo.co.uk следующую информацию.
1. Ваш $ 500 PayPal MyCash PIN
2. Ваш ID шифрования = <ваш ID>
Вскоре после получения и проверки ваучера все ваши файлы будут восстановлены.
Все платежи обрабатываются и проверяются вручную, не отправляйте неверные номера PIN.

Адреса вымогателей могут быть следующими: 
silasw9pa@yahoo.co.uk
decryptor171@mail2tor.com
decryptor171@scramble.io

  Распространяется с помощью email-спама и вредоносных вложений, в качестве которых выступает документ Word с вредоносными макросами. При открытии выводится сообщение с требованием включит макросы для отображения документа. 

Список файловых расширений, подвергающихся шифрованию: 
.accdb, .bay, .dbf, .der, .dng, .docx, .dxf, .erf, .indd, .mef, .mrw, .odb, .odp, .pdd, .pef, .pptm, .psd, .ptx, .raw, .srf, .xlk, .xls, .ach, .aiff, .arw, .asf, .asx, .avi, .back, .backup, .bak, .bin, .blend, .cdr, .cer, .cpp, .crt, .crw, .dat, .dcr, .dds, .des, .dit, .doc, .docm, .dtd, .dwg, .dxg, .edb, .eml, .eps, .fla, .flac, .flvv, .gif, .groups, .hdd, .hpp, .iif, .java, .kdc, .key, .kwm, .log, .lua, .m2ts, .max, .mdb, .mdf, .mkv, .mov, .mpeg, .mpg, .msg, .ndf, .nef, .nrw, .nvram, .oab, .obj, .odc, .odm, .ods, .odt, .ogg, .orf, .ost, .pab, .pas, .pct, .pdb, .pdf, .pem, .pfx, .pif, .png, .pps, .ppt, .pptx, .prf, .pst, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .raf, .rtf, .rvt, .rwl, .safe, .sav, .sql, .srt, .srw, .stm, .svg, .swf, .tex, .tga, .thm, .tlg, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xlr, .xlsb, .xlsm, .xlsx, .yuv,.jpeg,.jpe, .jpg (150 расширений)

Для каждого зашифрованного файла добавляется в реестр ключ HKCU\Software\CryptInfinite\Files\номер. Подробнее >>

Из процесса шифрования исключаются любые файлы, которые содержат следующие строки: Windows, Program Files, KEY, .crinf

При установке вредонос создает уникальный идентификатор жертвы, переименовывает и создать новый исполняемый файл, по имени идентификатора. Исполняемый сохраняется в папке %USERPROFILE%. Пример такого файла test-ADBFFA-G131.exe. 

Расположение: 
C:\Users\<user_name>\<victim-id>.exe

Затем вредонос выполняет следующие команды (удаляет тома теневых копий файлов, отключает восстановление системы и средство восстановления при загрузке, переводя его в статус игнорирования всех ошибок загрузки Windows):
cmd.exe /k vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /k bcdedit.exe /set {default} recoveryenabled No
cmd.exe /k bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

На выполнение этих команд требуются права администратора, и если UAK не отключен, то выйдет уведомление на выполнение Vssadmin.exe. В таком случае нужно отказать в выполнении каждого запрошенного процесса. 

Вредонос будет также завершать выполнение общих приложений, используемых при анализе вредоносного ПО:
TASKKILL /F /IM msconfig.exe
TASKKILL /F /IM rstrui.exe
TASKKILL /F /IM tcpview.exe
TASKKILL /F /IM procexp.exe
TASKKILL /F /IM procmon.exe
TASKKILL /F /IM regmon.exe
TASKKILL /F /IM wireshark.exe
TASKKILL /F /IM LordPE.exe
TASKKILL /F /IM regedit.exe
TASKKILL /F /IM cmd.exe
TASKKILL /F /IM filemon.exe
TASKKILL /F /IM procexp64.exe

По окончании шифрования вредонос вывод перед жертвой экран блокировки, который состоит из нескольких диалогов. Первый содержит основную информацию о том, что случилось с файлами, а второй позволяет проверять и увидеть статус проведенного платежа. 

Если жертва сделала платёж, и это подтвердилось, то появится третий диалог, в котором будет ссылка откуда скачать Decrypter.

DecryptorMax прописывает себя в Автозагрузку системы, меняет обои рабочего стола на свой графический файл z2.bmp с требованиями выкупа. 
Его местонахождение: C:\Users\z2.bmp.

Файлы, добавленные CryptInfinite:
%AppData%\XBMGERoOjZX.exe
%UserProfile%\<id>.exe
C:\Users\<login_name>\z2.bmp

Ключи реестра, добавленные CryptInfinite:
HKCU\Software\CryptInfinite
HKCU\Software\CryptInfinite\Files
HKCU\Software\CryptInfinite\Info
HKCU\Software\CryptInfinite\Info\KEY 000000
HKCU\Software\CryptInfinite\Info\1 000000
HKCU\Software\CryptInfinite\Info\c 23
HKCU\Software\CryptInfinite\Info\m 57
HKCU\Software\CryptInfinite\Info\s 21
HKCU\Software\CryptInfinite\Info\Finish True
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft corporation C:\Users\<login_name>\<id>.exe
HKCU\Control Panel\Desktop\WallpaperStyle "0"
HKCU\Control Panel\Desktop\Wallpaper "C:\Users\<login_name>\z2.bmp" 

Степень распространённости: низкая на данный момент. 
Подробные сведения собираются.

вторник, 26 июля 2016 г.

Jager

Jager Ransomware 

(JagerDecryptor)


 Этот крипто-вымогатель шифрует данные пользователей с помощью  AES-256, а затем требует написать вымогателям, чтобы уплатить выкуп от $50 в биткоинах и вернуть файлы обратно. Название JagerDecryptor придумано самими вымогателями. Разработка: mIRC Co. Ltd.

Ключ AES шифруется с помощью RSA и добавляется к концу файла вместе с AES IV и другой информацией. У каждого зашифрованного файла в первых 4 байтах будет "!ENC". 

Записки с требованием выкупа называются: Important_Read_Me.txt и Important_Read_Me.html



 Содержание записки о выкупе: 
All your files have been encrypted with RSA-2048 and AES-256 ciphers. 
To decrypt your files you need a private key which only we have on our server and nobody else.
Decryption price: 50$
Decryption price after 24h: 100$
Decryption price after 48h: 150$
After 72h: All your files will be unrecoverable
Contact us with email for more information about price and payment process (smartfiles9@yandex.com) don't forget to include your unique id (6ADF97F83ACF6453D4A6A4B1070F3754bqkmqebajjnwj)
We will use BitCoins for payment. If you haven't used BitCoins before follow this steps:
1. Start by creating a BitCoin wallet (we recommend Blockchain.info)
2. Buy neccessary amount of BitCoins, our recommendations.
We will decrypt one file for free to show that our decryptor works. You can find this document in desktop and documents folders

 Перевод записки на русский язык (стиль сохранен): 
Все ваши файлы зашифрованы с RSA-2048 и AES-256 шифрами.
Для дешифровки файлов нужен закрытый ключ, который есть только на нашем сервере.
Цена дешифровки: 50 $
Цена дешифровки через 24 ч.: 100 $
Цена дешифровки через 48 ч.: 150 $
После 72 ч. все ваши файлы будут невозвратными
Свяжитесь с нами по email для получения ещё информации о ценах и оплате (smartfiles9@yandex.com), не забудьте указать свой ID (6ADF97F83ACF6453D4A6A4B1070F3754bqkmqebajjnwj)
Мы использeем Bitcoins для оплаты. Если вы не имеете Bitcoins, следуйте этим шагам:
1. Начните с создания кошелька Bitcoin (мы рекомендуем Blockchain.info)
2. Купите нужное количество Bitcoins, наши рекомендации.
Мы дешифруем один файл бесплатно, чтобы показать работу декриптора. Вы найдете этот документ в папке на столе и документах

Распространяется с помощью email-спама и вредоносных вложений. 

 Список файловых расширений, подвергающихся шифрованию: 
.3dm, .3ds, .3g2, .3gp, .7z, .accdb, .aes, .ai, .aif, .apk, .app, .arc, .asc, .asf, .asm, .asp, .aspx, .asx, .avi, .bmp, .brd, .bz2, .c, .cer, .cfg, .cfm, .cgi, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .css, .csv, .cue, .db, .dbf, .dch, .dcu, .dds, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dtd, .dwg, .dxf, .eml, .eps, .fdb, .fla, .flv, .frm, .gadget, .gbk, .gbr, .ged, .gif, .gpg, .gpx, .gz, .h, .htm, .html, .hwp, .ibd, .ibooks, .iff, .indd, .jar, .java, .jks, .jpg, .js, .jsp, .key, .kml, .kmz, .lay, .lay6, .ldf, .lua, .m, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mfd, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpa, .mpg, .ms11, .msi, .myd, .myi, .nef, .note, .obj, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .pages, .paq, .pas, .pct, .pdb, .pdf, .pem, .php, .pif, .pl, .plugin, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .priv, .privat, .ps, .psd, .pspimage, .py, .qcow2, .ra, .rar, .raw, .rm, .rss, .rtf, .sch, .sdf, .sh, .sitx, .sldx, .slk, .sln, .sql, .sqlite, .sqlite, .srt, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlb, .tmp, .txt, .uop, .uot, .vb, .vbs, .vcf, .vcxpro, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .wpd, .wps, .wsf, .xcodeproj, .xhtml, .xlc, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .yuv, .zip, .zipx, .dat (228 расширений)

Шифровальщик пропускает файлы, находящиеся в директориях:
Application Data, AppData, Boot, ProgramData, Program Files, Program Files (x86), System Volume Information, Temp, Windows, $Recycle.Bin

Файлы, связанные с Ransomware: 
Important_Read_Me.txt
Important_Read_Me.html
<random>.exe
C:\ProgramData\encrypted.txt - список зашифрованных файлов

 Записи реестра, связанные с этим Ransomware: 
***

Сетевые подключения и связи: 
xxxx://steamcards.xyz/ghzbvychhz/  - C2
smartfiles9@yandex.com

Детект на VirusTotal >>

 Степень распространённости: низкая. 
 Подробные сведения собираются.

понедельник, 25 июля 2016 г.

Rush

Rush Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2 биткоина, чтобы вернуть файлы обратно. 

К зашифрованным файлам добавляется расширение .crashed. Жертве сообщается, что если выкуп не уплачен в течении 5 ней, то все зашифрованные файлы будут удалены. 

 Записка с требованием выкупа DECRYPT_YOUR_FILES.HTML размещается в каждой папке с зашифрованными файлами. 

 Содержание записки о выкупе: 
All your flies have been encrypted with Rush Ransomware
Your unique GUID for decrypt ***
Send me some 2 bitcoin on adress: 1MNXvRY***
After confirming the payment, all your files can be decrypted.
If you do not make payment within 5 days, you will lose the ability to decrypt them AND ALL YOUR FILES HAVE BEEN DELETED.
Make your Bitcoin Wallet on: https://www.coinbase.com/ or xxxx://blockchain.info
How to buy /sell and send Bitcoin :
1)xxxxs://support.combase.com/customer/en/portal/topics/796531-payment-method-verification/articles
2)xxxxs://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
3)xxxxs ://support.coinbase.com/customer/en/portal/topics/60 111 2-sending-receiving-bitcoin/articles
After the payment, send the wallet from which paid and your uniq ID to mail: unransom@me.com
After receiving the payment, we will contact and give you decryption tools and faq how to decrypt your files.

 Перевод записки на русский язык: 
Все ваши файлы были зашифрованы Rush Ransomware
Ваш уникальный GUID для дешифровки ***
Прислать мне 2 биткоина на адрес: 1MNXvRY ***
После проверки платежа все ваши файлы могут быть расшифрованы.
Если вы не платите за 5 дней, то потеряете возможность дешифровки и все ваши файлы будут удалены.
Сделайте себе Bitcoin-кошелёк: https://www.coinbase.com/ или xxxx://blockchain.info
Как купить / продать и отправить Bitcoin:
1) xxxxs://support.combase.com/customer/en/portal/topics/796531-payment-method-verification/articles
2) xxxxs://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
3) xxxxs ://support.coinbase.com/customer/en/portal/topics/601112-sending-receiving-bitcoin/articles
После оплаты сообщите кошелек, из которого платили и ваш уникальный ID на unransom@me.com
После получения оплаты мы свяжемся с вами, дадим дешифровщик и FAQ как дешифровать файлы.

 Распространяется с помощью email-спама и вредоносных вложений. 

 Список файловых расширений, подвергающихся шифрованию: 
.adi, .adt, .altr, .arw, .asmx, .asp, .aspx, .csv, .doc, .docx, .dwf, .html, .jpg, .msg, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .qbb, .rpt, .sldprt, .sln, .sql, .txt, .xls, .xlsx, .xml

 Файлы, связанные с Ransomware: 
***
 Записи реестра, связанные с Ransomware: 
***

Степень распространённости: низкая. 
 Подробные сведения собираются.

NoobCrypt

NoobCrypt Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 250 NZD (299 USD) в биткоинах, чтобы вернуть файлы обратно. 

Этимология названия:
  Название получил за корявость и множественные ошибке в кодинге, а также за ответные фразы, в который жертва оскорбляется за ввод некорректного ключа дешифровки. Самоназвание: CryptoLocker. Видимо дэву не дают покоя лавры реального CryptoLocker-а. 

Ориентирован, вероятно, на пользователей из Новой Зеландии, т.к выкуп указан в новозеландских и американских долларах. Но 250 новозеландских долларов эквиваленты только 175 американскими, потому налицо путаница с суммами выкупа. Примечательна также надпись, указывающая на румынское происхождение вредоноса. Также румынское происхождение имеет El-Polocker Ransomware

Записка о выкупе — экран блокировки с кнопками проверки платежа и дополнительной информации. Выполнено так коряво, что цифры требуемой суммы закрывают часть текста. 

Вымогательское сообщение с экрана блокировки: 
Your personal files are encrypted!
Coded in ROMANIA
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and can decrypt your files until you pay and obtain the private key.
You have 48 hours to pay 250 NZD in Bitcoins to get the decryption key.
Every 2 hours files will be deleted. Increasing in amount exery time frame. 
If you do not send money within provide $299 your files will be permanently crypted and no one will be able to recover them.
Time left until your files will be DELETED! - Don't try to trick us.
I have paid, check.
$299
11 JrYNuMaE4VXKrod2gA9keBo6nzPvtaoZ6
In order to pay use a Phone or a Laptop!
Informations    CHECK

Перевод на русский: 
Ваши личные файлы зашифрованы!
Кодировано в РУМЫНИИ
Ваши документы, фото, базы данных и другие важные файлы зашифрованы сильным шифрованием и уникальным ключом только для этого ПК.
Секретный ключ находится на секретном сервере и может дешифровать файлы, пока вы платите за секретный ключ.
У вас есть 48 часов, чтобы заплатить 250 NZD в биткоинах, чтобы получить ключ дешифровки.
Каждые 2 часа файлы будут удаляться. С каждым разом всё больше.  
Если вы не заплатите в нужный срок $299, то ваши файлы останутся шифрованными и никто не сможет их восстановить.
Осталось времени до удаления ваших файлов! - Не пытайтесь обмануть нас.
Я заплатил, проверить.
$ 299
1JrYNuMaE4VXKrod2gA9keBo6nzPvtaoZ6
Для оплаты используйте телефон или ноутбук!
Кнопка "Информация". Кнопка "ПРОВЕРИТЬ"

Файлы можно расшифровать без уплаты выкупа, если ввести в поле Unlock ключ разблокировки ZdZ8EcvP95ki6NWR2j
См. скриншот. 

Если вместо указанного кода ввести какой-нибудь простой, например, 123, то вымогатель покажет предупреждение с насмешкой над жертвой: 
"123 is not the code! You idiot. GO PAY IF U WANT UR PC BACK. NOOB HAH".
"123 это не код. Ты идиот. Плати, чтобы вернуть свой ПК. Нуб, хаха."

Во фразе присутствуют ошибки, видимо текст писал ещё тот "грамотей". 
Примеры ответных фраз на ввод некорректного ключа

Распространяется с помощью email-спама и вредоносных вложений, с помощью фальшивых обновлений и установщиков, в том числе и для Adobe Flash Player. 

Список файловых расширений, подвергающихся шифрованию: 
.3g2, .3gp, .accdb, .aif, .asf, .asx, .avi, .bmp, .cdx, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .flv, .gif, .ico, .iff, .jpeg, .jpg, .m3u, .m3u8, .m4u, .mdb, .mid, .mov, .mp3, .mp4, .mpa, .pdb, .pdf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ra, .raw,  .rtf, .sldm, .sldx, .sql, .tif, .txt, .vob, .wav, .wma, .wmv, .wpd, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw (71 расширение).

Файлы, связанные с Ransomware: 
CryptoLocker.exe - исполняемый файл вымогателя с фальшивым именем. 

Записи реестра, связанные с Ransomware: 
***

Детект на VirusTotal >>
Анализ на Payload Security >>

Обновление от 12 сентября 2016 г.
Новая версия: новый ключ разблокировки для $50: lsakhBVLIKAHg

Дополнение из статьи Лоуренса Абрамса
Таблица зависимых от суммы выкупа ключей теперь выглядит так:

 Степень распространённости: низкая. 
 Подробные сведения собираются.



https://twitter.com/JakubKroustek
http://www.bleepingcomputer.com/news/security/noobcrypt-ransomware-dev-shows-noobness-by-using-same-password-for-everyone/


 Thanks:
 Jakub Kroustek
 Lawrence Abrams
 
 

воскресенье, 24 июля 2016 г.

Tilde, Simple

Tilde Ransomware

Simple_Encoder Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,8 биткоинов, чтобы вернуть файлы обратно.  К зашифрованным файлам добавляется расширение .~. Название происходит  от английского названия этого знака tilde (тильда). Второе название: Simple_Encoder.

  Записки с требованием выкупа называются:  _RECOVER_INSTRUCTIONS.ini и img.bmp (встающее обоями). Это первый случай, когда используется файл с расширением .ini. 

Местонахождение текстового файла: 
C:\\_RECOVER_INSTRUCTIONS.ini
C:\Documents and Settings\Default User\Desktop\_RECOVER_INSTRUCTIONS.ini 
C:\Documents and Settings\Default User\Templates\_RECOVER_INSTRUCTIONS.ini 

Местонахождение графического файла: 
%TEMP%\Simple_Encoder\img.bmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Simple_Encoder\img.bmp
Графический вариант записки о выкупе

Содержание записки о выкупе _RECOVER_INSTRUCTIONS.ini: 
All your system is encrypted.

All your files (documents, photos, videos) were encrypted.
It's impossible to get access to your files without necessary decrypt key.
All your attempts to solve problem yourself will be unsuccessful!

We suggest you to read some articles about this type of encryption:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Now you have two options to solve the problem:
1. Format your hard disk. This way you'll lose all your files.
2. Pay 0.8 Bitcoin and get key of decryption. At the end of this ad you'll see your personal ID and our contact information.

Now you should send us email with your personal ID. This email 
will be as confirmation you are ready to pay for decryption key.
After payment we'll send you key of decryption with instructions how to decrypt the system.

Please, don't send us emails with threats. We don't read it and don't reply!
We guarantee we'll send you the decryption key after your payment so you'll get access to all your files.

Our e-mail address: one1uno243@yandex.com
YOUR PERSONAL IDENTIFIER: ***

Перевод записки на русский язык: 
Вся система зашифрована.

Все ваши файлы (документы, фото, видео) были зашифрованы.
Невозможно получить доступ к файлам без ключа дешифровки.
Все ваши попытки решить проблему самому будут неудачными!

Мы предлагаем вам прочитать статьи по этому типу шифрования:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Теперь у вас есть 2 варианта решения проблемы:
1. Форматировать жесткий диск. Так вы потеряете все файлы.
2. Заплатить 0,8 BTC и получить ключ дешифрования. В конце этого объявления вы увидите свой ID и контактную информацию.

Теперь вы должны отправить нам письмо с вашим личным кодом. Это письмо будет вашим согласием платить за ключ дешифрования.
После оплаты мы вышлем Вам ключ дешифрования с инструкциями как расшифровать систему.

Пожалуйста, не шлите нам письма с угрозами. Мы их не читаем и не отвечаем!
Мы гарантируем, что отправим вам ключ дешифрования после оплаты и вы получите доступ ко всем своим файлам.

Наш email-адрес: one1uno243@yandex.com
ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР: ***


Распространяется с помощью email-спама и вредоносных вложений, в том числе с документами MS Office типа bank_20160724_164650.doc и пр.

Список файловых расширений, подвергающихся шифрованию: 
.arc, .aes, .asc, .asf, .avi, .asm, .asp, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip, .djvu, .djv, .doc, .docb, .docx, .docm, .dot, .dotx, .dotm, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .java, .jar, .jpg, .jpeg, .key, .lay, .lay6, .ldf, .max, .mdb, .mid, .mkv, .mml, .mov, .mp3, .mpeg, .mpg, .ms11 (security copy), .myd, .myi, .mdf, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .pps, .ppam, .ppsm, .ppt, .pptm, .pptx, .ppsx, .psd, .qcow2, .rar, .raw, .rtf, .sch, .slk, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .svg, .swf, .sxc, .sxd, .sxi, .sxm,  .sldx, .sldm, .stw, .sxw, .tar, .tbk, .tgz, .tiff, .tif, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma,  .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (138 расширений)

Файлы, связанные с Tilde Ransomware: 
crypt.exe
_RECOVER_INSTRUCTIONS.ini

Записи реестра, связанные с Tilde Ransomware: 
См. гибридный анализ ниже (Reverse)

Результаты анализов:
Анализ на VirusTotal >>
Анализ на Reverse >>


Обновление от 25 октября:
Новый email: ki08ng7772@yandex.com
Результаты анализов: VT


Степень распространённости: низкая. 
Подробные сведения собираются.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton