среда, 31 августа 2016 г.

NullByte, Necrobot

NullByte Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение _nullbyte (без точки). Например, файл test.jpg станет файлом test.jpg_nullbyte.

Название вымогателя в данной статье происходит от слова, добавляемого к зашифрованным файлам. Распространяемый через рипаки вредонос имеет название Necrobot.Rebuilt

© Генеалогия: DetoxCrypto > Serpico > NullByte

Под угрозой распространения вымогателей на основе DetoxCrypto и Serpico находятся пользователи из следующих стран: Италия, Испания, Бельгия, Бразилия и пр.

Записками с требованием выкупа выступают скринлок, встающий обоями рабочего стола, и блокировщик экрана. Далее использую лишь текст с изображения. Текст на блокировщике экране вроде бы тот же. 
Скринлок, встающий обоями рабочего стола
Блокировщик экрана, требующий выкуп

Содержание текста о выкупе со скринлока:
All of your personal files have been encrypted.
The only way you can get your information back is to purchase your decryption key.
The current price is set for 0.1 BTC (USD$57.6) and will be released to you upon successful completion of your transfer to us
Our wallet address is: 1HpVz6uSgVjQxzJCeGgwYTbNAaD9tByR4u
and if you are using a BitCoin phone app, you can scan this QR code to transfer us funds.
The more popular BitCoin phone apps include Circle, Coinbase and Airbitz.
To find our more information on BitCoins, and what they are, please do a youtube search.
To put in a decryption key request, please use the application called Decrypt Info on your desktop, it is the same application that opened upon completion of filesystem encryption.
We apologize for the invonvinience and will release your decryption key as soon as you transfer funds to our BitCoin Wallet.

Перевод текста на русский язык (без исправления огрех в оригинале):
Все ваши личные файлы были зашифрованы.
Только одним путём вы можете получить информацию обратно - купить ключ дешифрования.
Текущая цена 0,1 BTC (USD $ 57,6) выставлена вам после успешного завершения вашей передачи к нам
Наш адрес кошелька: 1HpVz6uSgVjQxzJCeGgwYTbNAaD9tByR4u
и если у вас есть Bitcoin phone app, то сосканьте этот QR-код для передачи нам средств.
Популярные Bitcoin phone app включают в себя Circle, Coinbase и Airbitz.
Для поиска подробной информации о биткоинах, пожалуйста, поищите на YouTube.
Для запроса ключа дешифрования, пожалуйста, используйте Decrypt Info на рабочем столе, это одно и то же приложение, которое открыто по окончании шифрования файлов.
Мы приносим извинения за неудобства и пришлем ключ дешифрования, как только придут деньги на наш Bitcoin-кошелек.

Распространяется вымогатель из проекта Github через перепакованное ПО Necrobot (программа для накрутки в PokemonGo), называя себя "Necrobot.Rebuilt". Эта программа запрашивает данные из учетной записи, чтобы делать накрутки, но на самом деле собирает учетные данные и загружает их на FTP-сервер.

Злоумышленники видимо считают, что из Github приложение NecroBot люди будут скачивать чаще, думая, что это законное использование. 


Когда кто-то загрузит и запустит приложение, то оно откроет стандартный интерфейс NecroBot и попросит жертву выполнить вход. Если вводится какая-либо информация (реальная или фиктивная) и кнопка Login нажимается, то программа попытается войти в систему на серверах NecroBot. При этом на заднем плане шифровальщик уже начинает шифровать файлы жертвы.

Когда шифрование будет закончено, вымогателем будет выведен экран блокировки, который потребует от пользователя заплатить 0.1 BTC за дешифровку файлов.

Во время работы криптовымогатель завершает процессы chrome, firefox, iexplore, opera, cmd, taskmgr, чтобы усложнить удаление компонентов криптовымогателя или затруднить жертве поиск помощи в Интернете.


Крипто-вымогатель сохраняет скриншот текущего пользовательского рабочего стола Windows и загружает его на свой командно-контрольный сервер. Переданный скриншот обычно используется злоумышленниками и вымогателями для оценки навара, кражи информации или шантажа.

NullByte будет шифровать любые файлы, расположенные в следующих пользовательских папках:
%USERPROFILE%\Documents
%USERPROFILE%\Downloads
%USERPROFILE%\Favorites
%USERPROFILE%\Pictures
%USERPROFILE%\Music
%USERPROFILE%\Videos
%USERPROFILE%\Contacts
%USERPROFILE%\Desktop

Файлы, связанные с NullByte Ransomware:
%UserProfile%\Desktop\DecryptInfo.exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svhost32.exe
%UserProfile%\Documents\bg.jpg
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DecryptInfo.exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\enhost32.exe

Сетевой трафик NullByte Ransomware:
хттпs://tools.feron.it/php/ip.php
фтп://ftp.taylorchensportfolio.netai.net/DECRYPTINFO-LAUNCHED
фтп://ftp.taylorchensportfolio.netai.net/DECRYPT-REQUEST

Степень распространённости: низкая.
Подробные сведения собираются.


Внимание! 
Для зашифрованных файлов есть декриптер.

В Nullbyte Decrypter требуется указывать полный путь к профилю пользователя, который был заражен, поэтому перед дешировкой нужно убедиться в правильности пути. Если дешифруются файлы с другого компьютера (с диска из другого ПК), нужно будет предоставить точный путь к профилю через Settings -> Set Profile Path (например, "C:\Users\User_Name").

© Amigo-A (Andrew Ivanov): All blog articles.

CryptFuck

CryptFuck Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы обратно. Название дано вымогателем. К зашифрованным файлам добавляется расширение .URfucked

© Генеалогия: EDA2 >> CryptFuck 

Записка с требованием выкупа называется README_CRYPTFUCK.txt

Содержание записки о выкупе:
You have been attacked by the CryptFuck RansomWare v Misc.FormattedVersion()
Your UUID is 
frmMain.uuid
Your UKey is
frmMain.ukey
If you lose your identifier, any chance of getting back your data is flushed in the toilet!!
Keep in mind that you have 72 hours to perform the payment, after that, your encrypted password would be deleted permanently!!
If your browser does not open any web page, visit this page to learn how to get back your files:
frmMain.primeDomain
Bye
Mr.r0b0t

Перевод записки на русский язык:
Ты был атакован CryptFuck RansomWare v Misc.FormattedVersion()
Твой UUID -
frmMain.uuid
Твой UKey -
frmMain.ukey
Если ты посеешь свой ID, любой шанс вернуть данные сольется в туалет!!
Имей ввиду, что у тебя 72 часа на оплату, после чего твой зашифрованный пароль будет удален навсегда!!
Если твой браузер не открывает любой из веб-сайтов, посети этот сайт и узнай, как вернуть свои файлы:
frmMain.primeDomain
Пока
Mr.r0b0t

Видимо, это всего лишь тестовый вариант. В коде имеются комментарии на итальянском языке. 

Список файловых расширений, подвергающихся шифрованию:
***
Файлы, связанные с Ransomware:
***
Записи реестра, связанные с Ransomware:
***

Степень распространённости: низкая.
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 27 августа 2016 г.

KK, Estonian

KK (Estonian) Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью ???, а затем требует выкуп в 4 биткоина, чтобы вернуть файлы обратно. Название происходит от приставки KK_, на которую сами вымогатели направляют внимание.

  К зашифрованным файлам добавляется приставка KK_. Требования выкупа написаны на английском языке, но с погрешностями. Жертвы для обмена биткоинами направляются на сайты, находящиеся в доменной зоне EE, относящейся к Эстонии. Из чего можно сделать вывод, что вымогатели так или иначе имеют отношение к Эстонии. 

Записка с требованием выкупа называется: KK_ IN YOUR DOCUMENTS..txt

Содержание записки о выкупе:
Dear man, your computer has been locked by ransomware, your personal files are encrypted and you have unfortunately "lost" all your pictures,
files and documents on the computer. Your important files encryption produced on this computer: videos, photos, documents, etc.
Encryption was produced using unique public key RSA-1024 generated for this computer. To decrypt files you need to obtain the private key.
All encrypted files contain KK_
Your number: ***
To obtain the program for this computer, which will decrypt all files, you need to pay 4 bitcoins on our bitcoin address 1G2cSAZ9*** (today 1 bitcoin was 250 $). Only we and you know about this bitcoin address.
You can check bitcoin balanse here -  https://www.blockchain.info/address/1G2cSAZ9***
After payment send us your number on our mail nown@ruggedinbox.com and we will send you decryption tool (you need only run it and all files will be decrypted during 1...3 hours)
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your garantee that we have decryption tool. And send us your number with attached file.
We dont know who are you. All what we need - it's some money.
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter (for example if you use hotmail.com or outlook.com
it can block letter, SO DON'T USE HOTMAIL.COM AND OUTLOOK.COM. You need register your mail account in www.ruggedinbox.com (it will takes 1..2 minutes) and write us again)
You can use one of that bitcoin exchangers for transfering bitcoin. 
   decrypto.ee
   https://localbitcoins.com/country/EE
   https://www.clevercoin.com
   coinera.eu
   https://bitx.co
   https://www.kraken.com
You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country.
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.

Перевод записки на русский язык:
Дорогой человек, ваш компьютер был заблокирован вымогателеv, ваши личные файлы зашифрованы, и вы, увы, "потеряли" все ваши фото,
файлы и документы на компьютере. Ваши важные файлы шифрование сделано на этом компьютере: видео, фотографии, документы и т.д.
Шифрование было сделано с уникальным открытым ключом RSA-1024, сгенерированный для этого компьютера. Для дешифровки файлов вам надо получить закрытый ключ.
Все зашифрованные файлы имеют KK_
Ваш номер: ***
Для получения программы для этого компьютера, которая дешифрует все файлы, вам нужно заплатить 4 биткоина на наш Bitcoin-адрес 1G2cSAZ9*** (сегодня 1 Bitcoin был 250 $). Только мы и вы знаем об этом Bitcoin-адресе.
Вы можете проверить Bitcoin-баланс здесь - https://www.blockchain.info/address/1G2cSAZ9***
После оплаты пришлите нам свой номер на нашу почту nown@ruggedinbox.com и мы вышлем вам декриптер (вам нужно только запустить его и все файлы дешифруются за 1...3 часа)
До оплаты можете прислать нам 1 небольшой файл (100..500 килобайт), и мы его дешифруем - это ваша гарантия, что у нас есть декриптер. И пришлите нам свой номер с вложенным файлом.
Мы не знаем, кто ты. Все, что нам нужно - это немного денег.
Не паникуйте, если мы не ответим вам за 24 часа. Это значит, что мы не получили ваше письмо (например, если вы используете hotmail.com или outlook.com, это блокирует письмо, НЕ ИСПОЛЬЗУЙТЕ HOTMAIL.COM И OUTLOOK.COM. Вам надо зарегистрировать аккаунт почты в www.ruggedinbox.com (займёт 1..2 минуты) и написать нам снова)
Можете использовать один из Bitcoin-обменников для переноса Bitcoin.
   decrypto.ee
   https://localbitcoins.com/country/EE
   https://www.clevercoin.com
   coinera.eu
   https://bitx.co
   https://www.kraken.com
Вам не надо ставить программы Bitcoin - надо только использовать один из этих обменников или другой обменник, который можете найти в www.google.com для своей страны.
Пожалуйста, используйте английский язык в ваших письмах. Если вы не говорите по-английски, то используйте https://translate.google.com, для перевода вашего письма на английский язык.

Распространяется с помощью email-спама и вредоносных вложений.

Список файловых расширений, подвергающихся шифрованию:
***
Файлы, связанные с Ransomware:
***
Записи реестра, связанные с Ransomware:
***
Степень распространённости: низкая.
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 26 августа 2016 г.

Serpico

Serpico Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 50 евро, чтобы вернуть файлы обратно. Никаких расширений к зашифрованным файлам не добавляет. Требования выкупа написаны на хорватской латинице, потому вымогатель ориентирован на сербских, хорватских и боснийских пользователей, т.к. все они поймут написанное. Называет себя CryptoLocker.

© Генеалогия: DetoxCrypto > Serpico 

Запиской с требованием выкупа выступает экран блокировки и скринлок, встающий обоями рабочего стола (файл bg.jpg). 
Экран блокировки

Содержание текста с экрана:
SVI VAŠI FAJLOVI SU ZAKUUČANI!
Svi važni fajlovi na vašem kompjuteru su zaključani i nemoguće je razbiti enkripciju. NEMOGUĆE JE RAZBITI CryptoLocker.
Ako želite fajlove natrag javite se na mail:
motox2016@mail2tor.com
NAPOMENA:
Nemojte brisati ovaj program jer će biti potreban da bi vratili fajlove. Dobit ćete na mail upute i ključ koji ćete unijeti i svi fajlovi će biti vraćeni. Vrlo jednostavno, samo se javite na mail i dogovorimo se oko povratka fajlove.
Ako pokušate očistit ovaj program ili sami nešto popraviti moguće je da zauvijek oštetite i izgubite podatke zato je najbolje rješenje da se javite.
OTKUPNINA ZA SVE VAŠE FAJLOVE I TRAJNU ZAŠTITU OD SLIČNIH PROVALA JE SAMO 50€. JAVITE SE NA MAIL.

Перевод текста на русский язык (перевод автора блога):
Все ваши файлы заблокированы!
Все важные файлы на вашем компьютере блокированы и невозможно сломать шифрование. Невозможно сломать CryptoLocker.
Если хотите файлы назад, пишите на почту:
motox2016@mail2tor.com
Примечание:
Не удаляйте эту программу, она будет нужна для возврата файлов. Получите инструкции по почте и ключ, который вернет все файлы. Проще говоря, напишите нам на email и договоримся о возврате файлов.
Попытки удалить эту программу или что-то исправить, приведут к вреду и потере данных, потому лучшее решение - ответить нам.
Сумма выкупа всех ваших файлов и гарантия защиты от подобных вторжений составляет всего 50 €. Ответ на почту.

Примечательно, что почта вымогателей motox2016@mail2tor.com уже засветилась в DetoxCrypto Ransomware. Потому можно заключить, что Serpico запущен той же группой злоумышленников-вымогателей. 

Распространяется с помощью email-спама и вредоносных вложений (в том числе маскировка под PDF-файл), с помощью инфицированных файлов и попутных загрузок.

Список файловых расширений, подвергающихся шифрованию: 
 .3ds, .7z, .acbl, .all, .backup, .bak, .bmp, .bz2, .cab, .cdr, .cer, .cpr, .crt, .cs, .csv, .dat, .db, .dbf, .der, .doc, .docx, .dwg, .eps, .gif, .ibd, .ibz, .iso, .jpeg, .jpg, .mdb, .mdf, .myd, .pdf, .php, .png, .ppt, .pptx, .psb, .pst, .rar, .rns, .s3db, .sql, .sqlite, .sqlitedb, .tar,  .txt, .xls, .xlsx, .xlt, .xltx, .xml, .zip (53 расширения). 

Файлы, связанные с Serpico Ransomware:
C:\Users\User_name\Desktop\MotoxUnlocker.exe - копия файла Serpico.exe;
и группа в папке Serpico: 
C:\Users\User_name\Serpico\bg.jpg - изображение для обоев;
C:\Users\User_name\Serpico\key.pkm - хранит значение открытого ключа;
C:\Users\User_name\Serpico\Serpico.exe - основной исполняемый файл;
C:\Users\User_name\Serpico\sound.wav - музыка для фона;
C:\Users\User_name\Serpico\total.pkm - хранит идентификатор элемента управления.

Записи реестра, связанные с Ransomware:
***

Детект на VirusTotal >>

Степень распространённости: низкая.
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 25 августа 2016 г.

Domino

Domino Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью якобы AES-1024 (на самом деле AES-256), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Название происходит от слова Domino, использованного в записке о выкупе. К зашифрованным файлам добавляется расширение .domino

© Генеалогия: Hidden Tear >> Domino

Записки с требованием выкупа называются README_TO_RECURE_YOUR_FILES.txt и HelloWorld!

Записка README_TO_RECURE_YOUR_FILES.txt  размещается на рабочем столе, а HelloWorld извлекается из exe-файла. 





Содержание записки о выкупе:
Your file had been encrypted with AES 1024 bit key!!
How to decrypt your files:
1. Send me 1 bitcoin to: 1AkHp*****
2. After send bitcoin, send me your (computer name + user name + bitcoin address) to email 61f1e8055af3f6a672959e6b0493a2@gmail.com to get password!
3. Using your password to decrypt your files!
If you didn't do this, your password to decrypt your file will be destroy after 72 hour.
Winter Is Coming!
How to buy bitcoin:
https://www.coinbase.com/buy-bitcoin?locale=en
https://localbitcoins.com/guides/how-to-buy-bitcoins
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
(....Domino.............)
***

Перевод записки на русский язык (оригинальный сленг сохранен):
Твой файл был зашифрован с AES 1024 бит ключ!!
Как дешифровать файлы:
1. Пришли мне 1 Bitcoin на: 1AkHp*****
2. После отправить Bitcoin, пришли мне твои (имя компьютера + имя пользователя + Bitcoin адрес) на email  61f1e8055af3f6a672959e6b0493a2@gmail.com, чтобы получить пароль!
3. Используй пароль для расшифровки файлов!
Если ты не сделал этого, твой пароль для дешифровки твой файл будет уничтожен через 72 часа.
Зима приближается!
Как купить Bitcoin:
https://www.coinbase.com/buy-bitcoin?locale=en
https://localbitcoins.com/guides/how-to-buy-bitcoins
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
(....Домино.............)
/ В конце пририсована корова в ASCII /

Domino Ransomware распространяется с помощью программ для взлома, в частности как инсталлятор ПО KMSpico. Во время работы якобы мастера установки KMSpico на самом деле вредоносная программа в фоновом режиме выполняет шифрование всех файлов пользователя с помощью алгоритма AES. Разумеется, что установщик реального KMSpico был предварительно взломан и модифицирован, чтобы шифровать файлы пользователей. 


При выполнении KMSpico извлекается файл со случайным именем в папку %Temp%. Затем уже тот выполняется и извлекает защищённый паролем файл Help.zip. Пароль к архиву — abc123456. Архив содержит два файла: help.exe и HelloWorld.exe. Первый шифрует файлы и добавляет к ним расширение .domino, а HelloWorld показывает записку с требованием выкупа "HelloWorld!", в которой содержатся инструкции о выкупе и email для связи с вымогателями. 

Файлы шифруются на всех зарегистрированных в системе дисках, кроме диска A:\ и CD-Rom.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .c, .cas, .cdr, .cer, .cfm, .cfr, .class, .cpp, .cr2, .crt, .crw, .cs, .csr, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dba, .dbf, .dbfv, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dtd, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .fla, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .h, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .java, .jpe, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lua, .lvl, .m, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py,  .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rss, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sh, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .swift, .syncdb, .t12, .t13, .tax, .tor, .txt, .unity3d, .upk, .vb, .vcf, .vcxproj, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xcodeproj, .xf, .xhtml, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (всего 220 расширений, без дублей в верхнем регистре и повторов, с которыми в два раза больше). 

Дэвы Domino продублировали все целевые расширения в верхнем регистре и даже некоторые (.cer, .css, .js, .py) написали четырежды. Такой ход призван нанести максимальный урон жертве и не пропустить даже те файлы, у которых расширения по какой-то причине написаны в верхнем регистре. 

Файлы, связанные с Domino Ransomware:
%Temp%/KMSpico_setup.exe
%Temp%/31688EFBC3B9C99914A5BB7FB58AEC9E.exe
%Temp%/Help.zip
%Temp%/help.exe
%Temp%/HelloWorld.exe
README_TO_RECURE_YOUR_FILES.txt
%Temp%/ = C:\Users\User_Name\AppData\Local\Temp\

Примечательно, что в строчках кода есть текст на арабском языке.

Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 25 января 2017:
Файл: bootcfg.exe
Фальш-имя: Microsoft® Windows® Operating System
Записка: README_TO_RECURE_YOUR_FILES.txt
Email: cstddetnkvcmknl@gmail.com
Сетевые подключения: 74.125.133.108:587
Результаты анализов: VT



Внимание! 
Для зашифрованных файлов есть декриптер. 
1) Получить ключ дешифрования с помощью HiddenTear Bruteforcer и зашифрованного PNG-файла.
2) Этим ключом дешифрования файлы могут быть дешифрованы с помощью HiddenTear Decrypter.

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 24 августа 2016 г.

Fantom

Fantom Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует связаться по email, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .fantomНазвание происходит от этого расширения и поведения вымогателя в системе. 

© Генеалогия: EDA2 >> Fantom 


Образцы зашифрованных файлов и записка о выкупе

Записка с требованием выкупа называется DECRYPT_YOUR_FILES.HTML и размещается в каждой папке с зашифрованными файлами.

Содержание записки о выкупе:
Attention! All your files have been encrypted
Due encrypting was used algoritm RSA-4096 and AES-256, used for protection military secrets.
That means > RESTORE YOU DATA POSIBLE ONLY BUYING decryption passwords from us.
Getting a decryption of your files is - SIMPLY task.
That all what you need:
1. Sent Your ID_KEY on mailbox fantomd12@yandex.ru or fantom12@techemail.com
2. For test, decrypt 2 small files, to be sure that we can decrypt you files.
3. Pay our services.
4. GET software with passwords for decrypt you files.
5. Make measures to prevent this type situations again.
IMPORTANT (1)
Do not try restore files without our help, this is useless, and can destroy you data permanetly.
IMPORTANT (2)
We Cant hold you decryption passwords forever.
ALL DECRYPTION PASSWORDS, for what wasn't we receive reward, will destroy after week of moment of encryption.
Your ID_KEY

Перевод записки на русский язык (оригинальный стиль изложения):
Внимание! Все ваши файлы зашифрованы.
При шифровании использован алгоритм RSA-4096 и AES-256, используемый для защиты военных секретов.
Это значит > ВЕРНУТЬ ВАШИ ДАННЫЕ МОЖЕТ ТОЛЬКО ПОКУПКА пароля дешифрования у нас.
Получение расшифровки ваших файлов - простая задача.
Все, что вам нужно:
1. Выслать ваш ID_KEY на fantomd12@yandex.ru или fantom12@techemail.com
2. Для теста, дешифровать 2 маленьких файла для уверенности, что мы можем дешифровать вам файлы.
3. Оплатить наши услуги.
4. Получить софт с паролями для дешифрования вам файлов.
5. Сделать меры для предотвращения такого рода ситуаций снова.
ВАЖНО (1)
Не пытайтесь восстановить файлы без нашей помощи, это бесполезно, и может уничтожить вам данные.
ВАЖНО (2)
Мы не можем держать вам пароли дешифрования всегда.
ВСЕ пароли дешифрования, за то, что не мы получаем награду, уничтожит после недели момента шифрования.
Ваш ID_KEY

Лоуренс Адамс: "Я должен отметить, что этот вымогатель очень плохо владеет английским языком, т.к. грамматика и формулировки могут быть одними из худших, что я видел в записках о выкупе до сего дня".

Email вымогателей: 
fantomd12@yandex.ru
fantom12@techemail.com

Распространяется с помощью email-спама и вредоносных вложений, инфицированных файлов и попутных загрузок. 

Примечательно, что Fantom Ransomware имеет интересную особенность: отображает поддельный экран обновления Windows, создавая видимость установки нового критического обновления для ОС. Тем временем на заднем плане Fantom тайно выполняет шифрование файлов. 
В свойствах исполняемого файла вымогателя утверждается, что это "критическое обновление kb01" от Microsoft.

Вместе с исполняемым файлом Fantom Ransomware извлекается и запускается ещё одна программа — WindowsUpdate.exe, которая и отображает поддельный экран обновления Windows. 
Этот экран перекрывает все активные окна и не позволяет жертве переключиться на любые другие открытые приложения. Поддельный экран содержит процентный счетчик, который увеличивается по мере тайного шифрования файлов жертвы. Сделано так, чтобы всё выглядело, как будто действительно ставится обновление, чем оправдывается и усиленная работа жёсткого диска.

Фантом-экран можно закрыть с помощью комбинации клавиш Ctrl + F4. Это позволит завершить поддельный процесс и отобразит рабочий стол Windows, но крипто-вымогатель всё же продолжит шифрование файлов в фоновом режиме. 

Вымогатель генерирует случайный ключ AES-128, шифрует его с помощью RSA, а затем загружает на C&C-сервер вымогателей. В каждой папке, где имеются зашифрованные файлы, размещается записка о выкупе DECRYPT_YOUR_FILES.HTML

Когда шифрование будет закончено, запустятся два пакетных файла, которые проведут зачистку — удалят тома теневых копий файлов и исполняемый файл поддельного обновления. 
После этого пострадавшей стороне будет показана записка о выкупе DECRYPT_YOUR_FILES.HTML, которая включает ID_KEY жертвы и предлагает получить инструкции по оплате, написав на почту вымогателей: fantomd12@yandex.ru или fantom12@techemail.com

Далее крипто-вымогатель загружает со специального сайта изображение и сохраняет его со случайным именем в директории пользователя %USERPROFILE%\2d5s8g4ed.jpg. Затем ставит его на обои рабочего стола.
Веб-адрес, с которого загружается это изображение, может что-то подсказать о личности вымогателей:
хттп://content.screencast.com/users/Gurudrag/folders/Default/media/9289aabe-7b4a-4c7f-b3bb-bdf3407e7a2f/fantom1.jpg

Список файловых расширений, подвергающихся шифрованию:
 .001, .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .apk, .arc, .arch00, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .aspx, .asr, .asset, .avi, .avs, .bak, .bar, .bay, .bc6, .bc7, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .bkp, .blob, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsa, .bsp, .cag, .cam, .cap, .car, .cas, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cfr, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .css, .csv, .ctt, .cty, .cwf, .d3dbsp, .dal, .dap, .das, .dayzprofile, .dazip, .db0, .dbb, .dbf, .dbfv, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .desc, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dmp, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .epk, .eps, .eql, .erf, .err, .esm, .euc, .evo, .ex, .exif , .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flac, .flp, .flv, .for, .forge, .fos, .fpk, .fpp, .fsh, .gam, .gdb, .gho, .gif, .grf, .gthr, .gz, .gzig, .gzip, .h3m, .h4r, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .idx, .ifo, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .itm, .iwd, .iwi, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpw, .js, .json, .kdb, .kdc, .kf, .kmz, .kwd, .kwm, .layout, .lbf, .lbi, .lcd, .lcf, .ldb, .lgp, .litemod, .log, .lp2, .lrf, .ltm, .ltr, .ltx, .lvl, .m2, .m2v, .m3u, .m4a, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .mcgame, .mcmeta, .md, .md3, .mdb, .mdbackup, .mddata, .mdf, .mdl, .mdn, .mds, .mef, .menu, .mic, .mip, .mkv, .mlx, .mod, .mov, .moz, .mp3, .mp4, .mpeg, .mpg, .mpqge, .mrw, .mrwref, .msg, .msp, .mxp, .nav, .ncd, .ncf, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .ntl, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .odtb .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pkpass, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .psk, .pst, .ptx, .puz, .pwf, .pwi, .pwm, .pxp, .py, .qbb, .qdf, .qel, .qic, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .rb, .re4, .res, .rev, .rgn, .rgss3a, .rim, .rng, .rofl, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .sb, .sc2save, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .slt, .snp, .snx, .so, .spr, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .sum, .svg, .svi, .svr, .swd, .swf, .syncdb, .t12, .t13, .tar, .tax, .tax2015, .tax2016, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tor, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unity3d, .unr, .unx, .uop, .upk, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdf, .vdo, .ver, .vfs0, .vhd, .vmf, .vmt, .vob, .vpk, .vpp_pc, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmo, .wmv, .wmx, .wotreplay, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xf, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xml, .xpi, .xpt, .xvid, .xwd, .xxx, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo, .ztmp (582 расширения). 

Сетевое соединение Fantom Ransomware
хттп://powertoolsforyou.com/themes/prestashop/cache/stats.php
хттп://templatesupdates.dlinkddns.com/falssk/fksgieksi.php

Файлы, созданные Fantom Ransomware:
%AppData%\delback.bat
[Executable_Path]\WindowsUpdate.exe
[Executable_Path]\update.bat
%UserProfile%\2d5s8g4ed.jpg

Записи реестра, связанные с Fantom Ransomware:
HKCU\Control Panel\Desktop\ "Wallpaper"   "%UserProfile%\How to decrypt your files.jpg"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1

Обновление от 21 сентября 2016:
Обои созданные с помощью текста и случайных пикселов. 
См. пример: 
Эта версия не связывается с C2-сервером.
Сумма выкупа определяется по имени процесса. 
Email: restorefiles@protonmail.ch

Обновление от 15 ноября 2016:

Новое расширение: .locked4
Распространение: с помощью эксплойтов
Степень распространённости: средняя.
Подробные сведения собираются.

Обновление от 20 декабря 2016:
Записка: RESTORE-FILES!<id>.hta
Новое расширение: .locked4

Email: fixfiles@protonmail.ch
Результаты анализов: VT

Обновление от 27 декабря 2016:
Файл: sombrd.exe
Разработчик: Suhix (Сухих). 
Результаты анализов: VT

Обновление от 27 декабря 2016:

Ссылка на статью >>
Email: fixfiles@protonmail.ch
BM: BM-NAv5DtD4t9BpLoNCDYr7gSr7B5fS3TQE
Записка: RESTORE-FILES.[time_stamp].hta
Детали: Этот вариант шифровальщика шифрует файлы и переименовывает их с помощью base64 в файл с расширением, которое основано на времени начала работы вымогателя. При этом записка о выкупе будет называться RESTORE-FILES.03032017.hta
Регистрирует состояние вредоносного процесса путём извлечения изображения с сайта iplogger.ru. Если обнаружится пользователь из России, то вымогатель завершает процесс и удаляет инфекцию с компьютера. 
Результаты анализов: VT


© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 23 августа 2016 г.

Alma Locker Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. На уплату выкупа даётся 5 суток. К зашифрованным файлам добавляется сгенерированное для ПК жертвы расширение по шаблону .[random_5_char], но в расширении может быть 4, 5 или 6 случайных букв и цифр. Например, .a5zfn

Также генерируется многозначный ID жертвы (от 8 до 20 знаков), который затем нужен для уплаты выкупа в биткоинах. 

Записки с требованием выкупа называются: 
Unlock_files_[random_extension].txt и Unlock_files_[random_extension].html

Например: Unlock_files_a5zfn.txt или Unlock_files_a5zfn.html

Содержание записки о выкупе:
Your flies are encrypted!
Your ID: cecfb512
You can unlock .a5zfn files using these instructions:
1) Download decrypter mirrors:
http://***2eiimafg74.torstorm.org/decrypter.exe
http://***2eiimafg74.onion.nu/decrypter.exe
http://***2eiimafg74.onion.cab/decrypter.exe
http://***2eiimafg74.onion.Iink/decrypter.exe
http://***2eiimafg74.onion.to/decrypter.exe
2) Read decrypting instructions on our website:
http://***2eiimafg74.torstorm.org/
http://***2eiimafg74.onion.nu/
http://***2eiimafg74.onion.cab/
http://***2eiimafg74.onion.Iink/
http://***2eiimafg74.onion.to/
3) If you can't access these websites from your browser, you have to download TOR browser:
https://www.torproiect.org/projects/torbrowser.html
4) Follow this link via Tor Browser:
http://***2ejjmafg74.onion

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш ID: cecfb512
Вы можете разблокировать .a5zfn файлы, используя следующие инструкции:
1) Скачать декриптер с зеркал:
http://***2eiimafg74.torstorm.org/decrypter.exe
http://***2eiimafg74.onion.nu/decrypter.exe
http://***2eiimafg74.onion.cab/decrypter.exe
http://***2eiimafg74.onion.Iink/decrypter.exe
http://***2eiimafg74.onion.to/decrypter.exe
2) Прочитать инструкции дешифровки на нашем сайте:
http://***2eiimafg74.torstorm.org/
http://***2eiimafg74.onion.nu/
http://***2eiimafg74.onion.cab/
http://***2eiimafg74.onion.Iink/
http://***2eiimafg74.onion.to/
3) Если не можете получить доступ к сайтам вашим браузером, нужно загрузить Tor-браузер:
https://www.torproiect.org/projects/torbrowser.html
4) Перейдите по ссылке в Tor-браузере:
http://***2ejjmafg74.onion

Распространяется с помощью email-спама и вредоносных вложений, вредоносных сайтов и набора эксплойтов RIG.

Криптовымогатель отправляет на C&C-сервер злоумышленников следующую информацию: 
- закрытый ключ шифрования, зашифрованный с помощью AES-128;
- расширение зашифрованного файла этого ключа; 
- имя и ID пользователя;
- LCID машины жертвы;
- название активного сетевого интерфейса;
- версию установленной операционной системы; 
- название установленного антивирусного ПО;
- отметка времени запуска шифровальщика.

По окончании жертве показывается записка о выкупе. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3ds, .3gp, .accdb, .ape, .asp, .aspx, .bc6, .bc7, .bmp, .cdr, .cer, .cfg, .cfgx, .cpp, .cr2, .crt, .crw, .csr, .csv, .dbf, .dbx, .dcr, .dfx, .dib, .djvu, .doc, .docm, .docx, .dwg, .dwt, .dxf, .dxg, .eps, .htm, .html, .ibank, .indd, .jfif, .jpe, .jpeg, .jpg, .kdc, .kwm, .max, .mdb, .mdf, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdf, .pef, .pem, .pfx, .php, .png, .pps, .ppt, .pptm, .pptx, .psd, .pst, .pub, .pwm, .qbb, .qbw, .raw, .rtf, .sln, .sql, .sqlite, .svg, .tif, .tiff, .txt, .vcf, .wallet, .wpd, .xls, .xlsm, .xlsx, .xml

При шифровании пропускаются файлы и папки с названиями:
$recycle.bin
system volume information
program files
programdata
program files (x86)
windows
internet explorer
microsoft
mozilla
chrome
appdata
local settings
recycler
msocache
Unlock_files_

Сайт вымогателей в сети Tor выглядит следующим образом:
 

Декриптер от вымогателей выглядит следующим образом:
Текст с экрана декриптера:
Your files are encrypted!
Price for key: 1 BTC
It means you are no longer able to access them without the private decryption key which is stored on our server. You have 120 hours to make a decision. Send the specified BTC amount within the specified time to the specified Bitcoin payment address. Otherwise, the key will be completely erased from our server and your files will not ever be recovered.

Перевод на русский:
Ваши файлы зашифрованы!
Цена за ключ: 1 BTC
Это значит, что вы не получите доступ к ним без секретного ключа дешифрования, который хранится на нашем сервере. У вас есть 120 часов на решение. Выслать указанную сумму BTC в указанное время на указаный Bitcoin-адрес. Иначе ключ будет стерт с нашего сервера и ваши файлы никогда не будут восстановлены.

Файлы, связанные с Ransomware:
Unlock_files_[random_extension].html
Unlock_files_[random_extension].txt

Записи реестра, связанные с Ransomware:
***

Источник
Подробный анализ

Степень распространённости: низкая.
Подробные сведения собираются.

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *