среда, 28 сентября 2016 г.

Al-Namrood

Al-Namrood Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей и серверов, а затем требует связаться по email decryptioncompany@inbox.ru с вымогателями и сообщить ID, чтобы узнать сумму выкупа за возвращение файлов. Вымогатели из Украины. 



Этимология имени. Название получил от имени вавилонского царя Нимрода (Al-Namrood) или от современных спекуляций на их именах. Древний город на территории Ирака, которому археологи дали имя царя Нимрода, был разрушен боевиками ИГИЛ в 2015 году с помощью тяжёлой техники.

© Генеалогия: Apocalypse  > Al-Namrood

К зашифрованным файлам добавляются расширения .unavailable или .disappeared. 
Активность этого криптовымогателя пришлась на сентябрь 2016 г. Обновление до версии 2.0 — примерно ноябрь-декабрь 2016. 

Записка о выкупе создаётся для каждого файла с его именем и окончанием на конце *.Read_Me.Txt

Содержание записки о выкупе:
Hello!
All your files was encrypted.
If you wanna recover your files contact me as soon as possible:
decryptioncompany@inbox.ru
Your ID: B5584071
You have few days for contact me, then all your files will be lost.
If you dont get answer more than 24 hours - try any public mail service for contact me(like gmail or yahoo).
Regards.  

Перевод записки на русский язык:
Привет!
Все ваши файлы зашифрованы.
Если вы хотите восстановить файлы, свяжитесь со мной как можно скорее:
decryptioncompany@inbox.ru
Ваш ID: B5584071
У вас несколько дней, чтобы связаться со мной, иначе все ваши файлы пропадут.
Если вы не получите ответа через 24 часа, пробуйте любую публичную mail-службу для контакта со мной (Gmail или Yahoo).
С уважением.

Распространяется с помощью email-спама и вредоносных вложений, посредством атаки и взлома RDP-подключений. Стоящая за распространением Al-Namrood группа в первую очередь атакует серверы, имеющие поддержку RDP и уязвимости в защите. 

Список файловых расширений, подвергающихся шифрованию:
Все файловые расширения, за исключением тех, которые используются самим шифровальщиком. 

Файлы, связанные с Ransomware:
*.Read_Me.Txt
<random>.exe

Записи реестра, связанные с Ransomware:
***

Сетевые подключения и связи:
decryptioncompany@inbox.ru
fabianwosar@inbox.ru

Обновление. Al-Namrood 2.0
Файлы, зашифрованные  Al-Namrood 2.0, имеют случайное расширение по шаблону 
.<id-number>.<email>.<9/10_lower_alphabetic_characters> 
Пример: ID-17AD78ECSA[cryptservice@inbox.ru].mqbgadqaq
Контакты вымогателей: 
Email: cryptservice@inbox.ru и cryptsvc@mail.ru
Jabber: cryptservice@jabber.ua
Геолокация: Украина

Обновление. Al-Namrood 2.0
Eamil: crypt64@mail.ru
Jabber: crypt32@jabber.ua
<original_file_name.extension>.ID-<victim_ID>[crypt32@mail.ru].<random[a-e]>
например, <original_file_name.extension>.ID-DA15AE27GR[crypt32@mail.ru].ngayadgaoaa
Скриншот записки о выкупе:

Степень распространённости: средняя.
Подробные сведения собираются.

ВНИМАНИЕ! Для зашифрованных файлов есть декриптер. Скачать декриптер для v.1 и дешифровать >>
Read to links: 
Decrypter by Emsisoft.com
ID Ransomware (ID as Al-Namrood)
 Thanks: 
 Fabian Wosar 
 Michael Gillespie 
 

© Amigo-A (Andrew Ivanov): All blog articles.

Erebus

Erebus Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует перейти на специальную страницу для получения инструкций по оплате выкупа и программы дешифровки. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ecrypt
Зашифрованные файлы принимают вид: {hash}.ecrypt

Активность этого криптовымогателя пришлась на сентябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
YOUR_FILES_HAS_BEEN_ENCRYPTED.txt
YOUR_FILES_HAS_BEEN_ENCRYPTED.html

Содержание записки о выкупе:
Warning!
Your documents, photos, databases, important files been encrypted!
What happened to your files?
  All of your files were protected by a strong encryption whit RSA-2048.
  More information about the encryption keys using RSA-2048 can be found here. xxxxs://en.wikipedia.org/wiki/RSA_(encryption)
What does this mean?
  This means that the structure and data within your files have been irrevocably changed. You will not be able to work with them, read them or see them.
  It is the same thing as losing them forever. But with our help, you can restore them.
How did this happen?
  Especially for you. On our server was generated the secret key pair RSA-2048 public and private.
  All your files were encrypted with the public key. Which has been transferred to your computer via the Internet.
  Decrypting of your files is only possible with the help of the private key and decrypt program. Which is on our secret server.
What do I do?
  If you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed. If you really value your data.
  Then we suggest you do not waste valuable time searching for other solutions because they do not exist.
Remember that your machine ID:
For more specific instructions please visit your personal home page. There are a few different addresses pointing to your page below:
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/
If the above address will be unable to open or very slow, follow these steps:
  1. Download and install the tor browser. 
  2. After successful installation, run the browser, waiting to initialize.
  3. In the address bar enter: 
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/

Перевод записки на русский язык:
Предупреждение!
Ваши документы, фото, базы данных, важные файлы были зашифрованы!
Что случилось с файлами?
  Все ваши файлы были защищены с помощью сильного шифрования RSA-2048.
  Более подробную информацию о ключах шифрования используя RSA-2048 можно найти здесь. xxxxs://en.wikipedia.org/wiki/RSA_(encryption)
Что это значит?
  Это значит, что структура и данные в файлах безвозвратно изменены. Вы не сможете работать с ними, читать их или видеть их.
  Это то же самое, как потерять их навсегда. Но с нашей помощью вы можете восстановить их.
Как это произошло?
  Специально для Вас. На нашем сервере был создан секретная ключ-пара RSA открытый и закрытый.
  Все ваши файлы были зашифрованы с помощью открытого ключа. Который был передан на компьютер через Интернет.
  Дешифрование файлов возможно только с помощью секретного ключа и программы дешифровки. Который находится на нашем секретном сервере.
Что мне делать?
  Если вам не принять необходимые меры, в течение определенного времени, то будут изменены условия для получения секретного ключа. Если вы действительно цените ваши данные.
  Тогда мы предлагаем вам не тратить драгоценное время на поиск других решений, потому что они не существуют.
Запомните ID вашей машины:
Для подробных инструкций, пожалуйста, посетите вашу личную домашнюю страницу. Ниже есть несколько различных адресов, указывающих на вашу страницу:
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/
Если вышеуказанный адрес будет невозможно открыть или очень медленно, выполните следующие действия:
  1. Загрузите и установите Tor-браузер.
  2. После успешной установки, запустите браузер, ждите инициализации.
  3. В адресной строке введите:
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/

Распространяется или может распространяться через вредоносную рекламу, с помощью email-спама и вредоносных вложений, набора эксплойтов RIG, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arw, .ascx, .asf, .asm, .asp, .aspx, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lck, .ldf, .lit, .lock, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4v, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm, .pm!, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsm, .ppsx, .ppt, .pptm, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tbb, .tbn, .tex, .tga, .thm, .tif, .tlg, .tlx, .txt, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (423 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы, файлы образов, файлы бэкапов, общие папки и пр.

Нужно заметить особо, что шифрование затрагивает следующие папки:
%Program Files%\steam
%Application Data%\roaming\microsoft\office
%Application Data%\roaming\microsoft\outlook

Из шифрования исключаются папки, имеющие следующую строку: 
C:\$recycle.bin
C:\$windows.~bt
C:\boot
C:\drivers
%Program Files%
%Program Data%
%User Profile%
%Windows%
C:\windows.old
%AppDataLocal%
%AppDataLocalLow%
%Application Data%\adobe\flash player
%Application Data%\ati
%Application Data%\google
%Application Data%\identities
%Application Data%\installshield
%Application Data%\intel
%Application Data%\macromedia\flash player
%Application Data%\media center programs
%Application Data%\microsoft
%Application Data%\mozilla
%Application Data%\nvidia
%Application Data%\opera
\public\music\sample music
\public\pictures\sample pictures
\public\videos\sample videos
\tor browser

Из шифрования также исключаются следующие файлы:
bootsect.bak
desktop.ini
iconcache.db
ntuser.dat
thumbs.db
wallet.dat

После шифрования удаляются теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet

Файлы, связанные с этим Ransomware:
<random>.exe
%User Startup%\DECRYPT.txt - файл сведений для дешифрования;
%User Startup%\YOUR_FILES_HAS_BEEN_ENCRYPTED.html - записка о выкупе;
%User Startup%\YOUR_FILES_HAS_BEEN_ENCRYPTED.txt - записка о выкупе;
%Application Data%\{random_alphanumeric_chars 1}.conf- список всех директорий для шифрования;
%Application Data%\{random_alphanumeric_chars 2}.conf - содержит открытый ключ;
%Application Data%\{random_alphanumeric_chars}.res - список файлов для шифрования.

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
GoogleChromeAutoLaunch_{random_alphanumeric_chars} = "{malware path}"
См. ниже результаты анализов.

Сетевые подключения и связи:
***o.com/data/files/184228721522.php
***ung.kr/upload/file/54874544154.php
***on.kr/gmEditor/uploaded/img/125687499.php
***wsb5cxo671abtrsg.j57xi.top
***nicc3j2o5rtsllvw.j57xi.top


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Write-up + Write-up
 ID Ransomware (ID as Erebus)
*
 Thanks: 
 Jeanne Jocson (TrendMicro)
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 27 сентября 2016 г.

Odin-Locky

Odin-Locky Ransomware

(шифровальщик-вымогатель) 

   Этот крипто-вымогатель является новой версией крипто-вымогателя Locky, отличающейся по ряду признаков. 

 © Генеалогия: Locky > Odin-Locky

К зашифрованным файлам добавляется расширение .odin.
Название зашифрованного файла меняется особым образом. Например, после шифрования файл test.jpg станет 5FBZ55IG-S575-7GEF-2C7B-5B22862C2225.odin

Название получил от добавляемого расширения с указанием на основного крипто-вымогателя. То есть основным является Locky, а с расширением .odin распространяется всего лишь его новая итерация. 


Распространённость Cerber (к октябрю 2016)

Записки с требованием выкупа называются:
_HOWDO_text.html
_HOWDO_text.bmp
_[2_digit_number]_HOWDO_text.html

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION!!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
xxxp://en.wikipedia.org/wiki/RSA (cryptosystem)
xxxp://en.wikipedia.org/wiki/Advanced Encryption Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
xxxps://jhomitevd2abj3fk.tor2web.org/D56F3331E80*****
xxxp://jhomitevd2abj3fk.onion.to/D56F3331E80*****
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: xxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialisation.
3. Type in the address bar: jhomitevd2abj3fk.onion/D56F3331E80*****
4. Follow the instructions on the site.
!!! Your personal identification ID: D56F3331E80***** !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ!!!!
Все ваши файлы зашифрованы шифрами RSA-2048 и AES-128.
Подробную информацию о RSA и AES можно найти здесь:
xxxp://en.wikipedia.org/wiki/RSA (cryptosystem)
xxxp://en.wikipedia.org/wiki/Advanced Encryption Standard
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы расшифровки, которая находится на нашем секретном сервере.
Чтобы получить свой секретный ключ, следуйте одной из ссылок:
hxxps://jhomitevd2abj3fk.tor2web.org/D56F3331E80*****
hxxp://jhomitevd2abj3fk.onion.to/D56F3331E80*****
Если все эти адреса недоступны, сделайте следующие действия:
1. Загрузите и установите Tor Browser: 
hxxps://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: jhomitevd2abj3fk.onion/D56F3331E80*****
4. Следуйте инструкциям на сайте.
!!! Ваш персональный идентификационный ID: D56F3331E80 ***** !!!

  Распространяется с помощью email-спама и вредоносных вложений, упакованных в архив, внутри которых находятся wsf-файлы (ws или js). Если получатель дважды кликнет на один из этих файлов сценариев, то будет загружен зашифрованный инсталлятор DLL, затем дешифрован и запущен с помощью легитимной программы для Windows под названием Rundll32.exe.

Команда, которая выполняется для запуска DLL:
rundll32.exe %Temp%\[name_of_dll],qwerty

Примеры писем:
Dear [Receiver_name], 
Please find attached documents as requested.
---
Best Regards,
[Sender name]
Our sincere apology for the incorrect invoice we sent to you yesterday. 
Please check the new updated invoice #3195705 attached. 
We apologize for any inconvenience. 
---
Socorro Bishop
Executive Director Marketing PPS
Tel.: (324) 435-35-73

Список файловых расширений, подвергающихся шифрованию:
.7zip, .aac, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .aiff, .ait, .aoi, .apj, .apk, .arc, .arw, .asc, .asf, .asm, .asp, .aspx, .asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .craw, .crt, .crw, .csh, .csl, .csr, .css, .csv, .d3dbsp, .dac, .das, .dat, .db_journal, .dbf, .dbx, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .hbk, .hdd, .hpp, .html, .hwp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .log, .ltx, .lua, .m2ts, .mapimail, .max, .mbx, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mpeg, .mpg, .mrw, .ms11 (security copy), .msg, .myd, .myi, .ndd, .ndf, .nef, .nop, .nrw, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .pab, .pages, .paq, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .raf, .rar, .rat, .raw, .rdb, .rtf, .rvt, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sda, .sdf, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .srf, .srt, .srw, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .upk, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wks, .wma, .wmv, .wpd, .wps, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (372 расширения). 

Файлы и записи реестра, связанные с Odin-Locky Ransomware:
см. тут.

Гибридный анализ >>
Детект на VirusTotal >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются.

Read to links:
Write-up
Write-up
 Thanks:
 Lawrence Abrams
 MyOnlineSecurity
 

© Amigo-A (Andrew Ivanov): All blog articles.

Tag Cloud: Remove Odin Decrypt Delete Locky Decode Restore files Recovery data Удалить Odin Locky Дешифровать Расшифровать Восстановить файлы Removal Uninstall Eliminar Borrar Entfernen Deinstallieren Löschen 

DXXD

DXXD Ransomware


   Этот крипто-вымогатель шифрует данные на сервере, а затем требует связаться по почте с экспертом вымогателей, чтобы вернуть файлы. Название получил от добавляемого окончания. Есть сведения о том, что это разработка украинских вымогателей. 

К зашифрованным файлам добавляется dxxd (без точки). Таким образом файл picture.jpg станет picture.jpgdxxd

Записки с требованием выкупа называются: ReadMe.TxT

Содержание записки о выкупе:
Dear owner, bad news!!!!
Your SERVER [hacked], and file's [ENCRYPTED]!
If you need back files and recommendation's,
to protect your file's and server, write to e-mail:
[1] shellexec@protonmail.com
[2] null_ptr@tutanota.de
If don't answer on e-mail? Write to [jabber]:
what's jabber?
GUIDE : xxxx://www.howtogeek.com/howto/38942/the-beginners-guide-to-
pidgin-the-universal-messaging-client/
Programm : xxxxs://pidgin.im/download/
Register account : xxxxs://www.xmpp.jp or xxxxs://rows.io/ or your custom.
Add me : [one_weaJc@rows.io]
And so, write me.
Sorry.

Перевод записки на русский язык:
Уважаемый владелец, плохая новость !!!!
Ваш СЕРВЕР [взломан], и файлы [ЗАШИФРОВАНЫ]!
Если вам нужно вернуть файлы и рекомендации,
для защиты ваших файлов и сервера, пишите на email:
[1] shellexec@protonmail.com
[2] null_ptr@tutanota.de
Если нет ответа на email? Пишите [jabber]:
Что такое jabber?
ГИД: xxxx://www.howtogeek.com/howto/38942/the-beginners-guide-to-pidgin-the-universal-messaging-client/
Программа: xxxxs://pidgin.im/download/
Регистрация аккаунта: xxxxs://www.xmpp.jp или xxxxs://rows.io/ или ваш.
Добавьте меня: [one_weaJc@rows.io]
И так, пишите мне.
Извините.

У некоторых пострадавших наблюдалось изменение экрана входа в Windows на следующий:

Содержание текста с экрана:
Microsoft Windows Security Center. Dear Administrator, YOUR server is attacked by hackers.
For more informations and recommendations, write to our experts by e-mail: shellexec@protonmail.com or null_ptr@tutanota.de

When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software. And write to our experts by e-mail: shellexec@protonmail.com or null_ptr@tutanota.de

Перевод текста на русский язык:
Центр безопасности Microsoft Windows. Ув. Администратор, ваш сервер атакован хакерами.
Для подробной информации и рекомендаций пишите нашим экспертам на почту: shellexec@protonmail.com или null_ptr@tutanota.de

При запуске Windows, Windows Defender работает, чтобы защитить ваш ПК проверкой на вредоносное или нежелательное ПО. Пишите нашим экспертам на почту: shellexec@protonmail.com или null_ptr@tutanota.de

Распространяется с помощью email-спама и вредоносных вложений, с помощью хакерских атак путём взлома.

Список файловых расширений, подвергающихся шифрованию:

.doc, .docx, .jpe, .jpeg, .jpg, .png, .rtf, .xls, .xlsx...

Файлы, связанные с DXXD Ransomware:
ReadMe.TxT


Обновление от 10 октября 2016:
DXXD-2
1. Изменение экрана входа в Windows теперь у всех пострадавших. 
2. Записи реестра, связанные с DXXD Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption "Microsoft Windows Security Center. Dear Administrator, Your server hacked. For more informations and recommendations, write to our experts by e-mail: rep_stosd@protonmail.com or rep_stosd@tuta.io"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText "When you start Windows, Windows Defender works to help protect your PC by scanning for malicious or unwanted software."
3. Новые email вымогателей:
rep_stosd@protonmail.com
rep_stosd@tuta.io


Внимание! 
Для зашифрованных файлов есть декриптеры


Степень распространённости: средняя.
Подробные сведения собираются.

Read to links:
ID Ransomware
Topic on BC + Write-up on BC (added on Oktober 10, 2016)
 Thanks:
 Michael Gillespie (‏Demonslay335)
 Lawrence Abrams on BleepingComputer
 Fabian Wosar on Emsisoft

© Amigo-A (Andrew Ivanov): All blog articles.

Princess Locker

Princess Locker Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 3 биткоина (равны $ 1800), чтобы вернуть файлы. Если оплата не поступает в установленный срок, то сумма выкупа удваивается до 6 биткоинов. Название получил от использованного логотипа Princess на сайте уплаты выкупа. Оригинальное название: Rule donkey. Разработчик: Pelican Products. 

К зашифрованным файлам добавляется случайное расширение, например, .1igw или .1cbu1. Шаблон: [4-5_random_char]. Число знаков может быть и больше, просто в примерах были 4 или 5 знаков. 

Активность этого криптовымогателя пришлась на сентябрь 2016 г. 

Записки с требованием выкупа называются:
!_HOW_TO_RESTORE_[4-5_random_char_extension].TXT
!_HOW_TO_RESTORE_[4-5_random_char_extension].html
!_HOW_TO_RESTORE_[4-5_random_char_extension].url

Содержание записки о выкупе:
Your files are encrypted!
Your ID: ***
You can unlock .1igw files using these instructions: 
1) Read decrypting instructions on our website: 
http://6s2a2qa6sdoz4sjt.torstorm.org/
http://6s2a2qa6sdoz4sjt.onion.nu/
http://6s2a2qa6sdoz4sjt.onion.cab/
http://6s2a2qa6sdoz4sjt.onion.link/
http://6s2a2qa6sdoz4sjt.onion.to/
2) If you can't access these websites from your browser, you have to download TOR browser: https://www.torproject.org/projects/torbrowser.html
3) Follow this link via Tor Browser: http://6s2a2qa6sdoz4sjt.onion

Перевод записки на русский язык:
Твои файлы зашифрованы!
Твой ID: ***
Ты можешь разблокировать .1igw файлы, используя эти инструкции:
1) Прочитай инструкции дешифрования на нашем сайте:
http://6s2a2qa6sdoz4sjt.torstorm.org/
http://6s2a2qa6sdoz4sjt.onion.nu/
http://6s2a2qa6sdoz4sjt.onion.cab/
http://6s2a2qa6sdoz4sjt.onion.link/
http://6s2a2qa6sdoz4sjt.onion.to/
2) Если не можешь получить доступ к этим сайтам с помощью браузера, то нужно загрузить Tor-браузер: https://www.torproject.org/projects/torbrowser.html
3) Перейди по этой ссылке в Tor-браузере: http://6s2a2qa6sdoz4sjt.onion


Сайт уплаты выкупа имеет флажки-ссылки на 12 языках, которые предлагается выбрать жертве для уплаты выкупа. Что очень похоже на сайт Cerber Ransomware. Сначала надо выбрать свой язык, затем ввести полученный ID в открывшейся странице. С несуществующим ID нужная страница не откроется. Один файл предлагают дешифровать бесплатно. 

Примечательно, что вымогатели в инструкциях по оплате используют редкий термин "fiat currency" (фиатные деньги, фиатная валюта), значение которого мало кто знает.  

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .gif, .pdf, .png, .ppt, .pptx, .xls, .xlsx и др.

Файлы, связанные с этим Ransomware:
!_HOW_TO_RESTORE_[extension].TXT
!_HOW_TO_RESTORE_[extension].html
!_HOW_TO_RESTORE_[extension].url
<random_name>.EXE
RxWis.exe

Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения:
myexternalip.com
6s2a2qa6sdoz4sjt.onion

cxufwls2xrlqt6ah.onion.link
103.198.0.2


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ EXE >>
VirusTotal анализ DLL >>
Symantec: Ransom.PrincessLocker >>

Степень распространённости: низкая.
Подробные сведения собираются.


Обновление от 16 февраля 2017:


Пост в Твиттере >>
Записка: @_USE_TO_FIX_JJnY.txt
Адрес: oat3viyjqoyqh3ck.onion
Скриншот сайта 







ВНИМАНИЕ!
Для зашифрованных файлов есть декриптер
Read to links: 
Write-up on BC
Topic on BC
ID Ransomware
Recent additions:
Write-up on Malwarebytes
*
*
 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 hasherezade

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 26 сентября 2016 г.

HelpDCFile

HelpDCFile Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES и RSA, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название получил от названия записки о выкупе: help_dcfile. 

© Генеалогия: R980 > HelpDCFile

К зашифрованным файлам добавляется расширение .xxx
Шаблон зашифрованных файлов: [10_random_characters.xxx]

Активность этого криптовымогателя пришлась на сентябрь 2016 г.

Записки с требованием выкупа называются: help_dcfile.txt и help_dcfile.html. Они размещаются на рабочем столе и, возможно, в других заметных местах. 

Содержание записки о выкупе:
!!!!Attention!!!!
Your personal files are encrypted.
Your files have been safely encrypted on this PC: photos, videos, documents, etc. 
Encryption was produced using a unique public key AES and RSA generated for this computer.To decrypt files you need to obtain the private key which have been saved on our server. 
You only have 72 hours( 26/09/2016 12:41:47 + 72 hours ) to submit the payment!! If you dont pay in 72h , Your key will be destroyed.
How to get your files back:
To decrypt your files you have to pay 0.5 Bitcoins(BTC).
How to make payment?
1. Firstly,you have to buy bitcoins. You can buy bitcoins easily at the following site(you can skip this step if you already have bitcoins)
https://www.coinbase.com/
https://coincafe.com/
https://bitquick.co/
2. Send 0.5 bitcoins to the following bitcoin address. You dont have to send the exact amount above. You have to send at least this amount for our system.
BITCOIN ADDRESS: 1HfaCTfwsVXDitg9SgV8cR8ujYs7ZcKkto
3. Find your transaction ID(TXID) and enter TXID on the form.
4. Once you have paid to the above bitcoin address we will give you a link to decrypt key that will fix your files.
It will be sent to a public email account we have created for you.
(example) https://www.mailinator.com/inbox2.jsp?public_to=ULBPKVaSs10JVbOyZSrs 
Please wait up to 24 hours for your decrypt key to arrive.

Перевод записки на русский язык:
!!!!Внимание!!!!
Ваши личные файлы зашифрованы.
Ваши файлы безопасно зашифрованы на этом компьютере: фото, видео, документы и т.д.
Шифрование произведено с использованием уникального открытого ключа AES и RSA, созданного для этого ПК. Для расшифровки файлов надо получить секретный ключ, который сохранен на нашем сервере.
У вас есть только 72 часа (26/09/2016 12:41:47 + 72 часов) для оплаты!! Если вы не платите за 72 ч., ваш ключ будет уничтожен.
Как получить файлы обратно:
Для расшифровки файлов вы надо заплатить 0,5 биткоинов (BTC).
Как сделать платеж?
1. Сначала вы должны купить биткойны. Вы можете купить биткойны на следующих сайтах (можете пропустить этот шаг, если у вас уже есть биткойны)
https://www.coinbase.com/
https://coincafe.com/
https://bitquick.co/
2. Отправить 0,5 биткойна по Bitcoin-адресу. Вы не должны отправить точную сумму выше. Вы должны отправить по крайней мере эту сумму для нашей системы.
Bitcoin-адрес: 1HfaCTfwsVXDitg9SgV8cR8ujYs7ZcKkto
3. Найдите свой ID транзакции (TXID) и введите TXID в форму.
4. После того, как вы заплатили по указанному выше Bitcoin-адресу мы дадим вам ссылку на ключ дешифровки, который исправит ваши файлы.
Он будет направлен на адрес почты, который мы создали для вас.
(Пример) https://www.mailinator.com/inbox2.jsp?public_to=ULBPKVaSs10JVbOyZSrs
Пожалуйста, ждите до 24 часов для прихода вашего ключа дешифровки.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с HelpDCFile Ransomware:
C:\Program Files (x86)\wsW1u4.exe
help_dcfile.txt
help_dcfile.html
update.exe

Записи реестра, связанные с HelpDCFile Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
https://id-ransomware.malwarehunterteam.com/
https://www.pcrisk.com/removal-guides/10522-helpdcfile-ransomware
 Thanks: 
 Michael Gillespie
 Tomas Meskauskas
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *